Le ver botnet P2PInfect traverse une période de volumes d’activité très élevés à partir de fin août, puis de reprise en septembre 2023.
P2PInfect a été documenté pour la première fois par l’Unité 42 en juillet 2023 comme un malware peer-to-peer qui viole les instances Redis à l’aide d’une faille d’exécution de code à distance sur les systèmes Windows et Linux exposés à Internet.
Les chercheurs de Cado Security qui suivent le botnet depuis fin juillet 2023 rapportent aujourd’hui avoir constaté une activité mondiale, la plupart des violations affectant les systèmes en Chine, aux États-Unis, en Allemagne, à Singapour, à Hong Kong, au Royaume-Uni et au Japon.
De plus, Cado affirme que les derniers échantillons de P2PInfect comportent des ajouts et des améliorations qui le rendent plus capable de se propager aux cibles et mettent en valeur le développement continu du malware.
Forte hausse de l’activité
Cado détecte l’activité du botnet P2PInfect, indiquant que le malware est entré dans une nouvelle période de stabilité du code qui lui permet d’accélérer ses opérations.
Les chercheurs rapportent avoir observé une augmentation constante du nombre de tentatives d’accès initiales effectuées par P2PInfect sur leurs pots de miel, conduisant à 4 064 événements provenant d’un seul capteur au 24 août 2023.
Le 3 septembre 2023, les événements d’accès initial avaient triplé mais restaient relativement faibles.
Puis, au cours de la semaine du 12 au 19 septembre 2023, une augmentation de l’activité P2PInfect s’est produite, Cado enregistrant 3 619 tentatives d’accès au cours de cette seule période, soit une augmentation de 600 fois.
« Cette augmentation du trafic P2Pinfect a coïncidé avec un nombre croissant de variantes observées dans la nature, ce qui suggère que les développeurs du malware opèrent à une cadence de développement extrêmement élevée », explique Cado.
Nouvelles fonctionnalités de P2PInfect
Parallèlement à cette activité accrue, Cado a observé de nouveaux échantillons qui font de P2PInfect une menace plus furtive et plus redoutable.
Premièrement, les auteurs du malware ont ajouté un mécanisme de persistance basé sur cron qui remplace la méthode précédente « bash_logout », déclenchant la charge utile principale toutes les 30 minutes.
De plus, P2Pinfect utilise désormais une charge utile bash (secondaire) pour communiquer avec la charge utile principale via un socket de serveur local, et si le processus principal s’arrête ou est supprimé, il récupère une copie d’un homologue et la redémarre.
Le malware utilise désormais également une clé SSH pour écraser toutes les clés autorisées SSH sur le point de terminaison piraté afin d’empêcher les utilisateurs légitimes de se connecter via SSH.
Si le logiciel malveillant dispose d’un accès root, il modifiera le mot de passe de tous les autres utilisateurs du système en utilisant un mot de passe à 10 caractères généré automatiquement pour les verrouiller.
Enfin, P2PInfect utilise désormais une configuration de structure C pour son client qui est mise à jour dynamiquement en mémoire, alors qu’auparavant, il ne disposait pas de fichier de configuration.
Des objectifs peu clairs
Cado rapporte que les variantes de P2PInfect qu’il a observées ont récemment tenté de récupérer une charge utile de mineur, mais n’ont pas constaté d’activité réelle de cryptominage sur les appareils compromis. Par conséquent, il n’est pas clair si les opérateurs de logiciels malveillants expérimentent encore la dernière étape de l’attaque.
Les opérateurs du botnet peuvent améliorer le composant mineur ou rechercher des acheteurs d’abonnements à P2PInfect, ils utilisent donc le mineur comme mannequin pour la démonstration.
Compte tenu de la taille actuelle du botnet, de sa propagation, de ses fonctionnalités de mise à jour automatique et de son expansion rapide ce mois-ci, P2PInfect constitue une menace importante à surveiller.