Découverte d’une nouvelle variante du botnet P2PInfect MIPS ciblant les routeurs et les appareils IoT

La dernière version, selon Cado Security Labs, est compilée pour l’architecture MIPS (Microprocessor without Interlocked Pipelined Stages), ce qui élargit ses capacités et sa portée.

« Il est très probable qu’en ciblant l’architecture MIPS, les développeurs de P2PInfect aient l’intention d’infecter les routeurs et les appareils IoT avec le logiciel malveillant », a déclaré le chercheur en sécurité Matt Muir dans un rapport partagé avec The Hacker News.

P2PInfect, un logiciel malveillant basé sur Rust, a été divulgué pour la première fois en juillet 2023, ciblant des instances Redis non corrigées en exploitant une vulnérabilité critique d’évasion de la sandbox Lua (CVE-2022-0543, CVSS score : 10.0) pour l’accès initial. Une analyse ultérieure de l’entreprise de sécurité du cloud en septembre a révélé une augmentation de l’activité de P2PInfect, coïncidant avec la publication de variantes itératives du logiciel malveillant.

Les nouveaux artefacts, en plus de tenter de mener des attaques SSH par force brute sur des appareils équipés de processeurs MIPS 32 bits, intègrent des techniques d’évasion et d’anti-analyse mises à jour afin de passer inaperçus. Les tentatives de force brute contre les serveurs SSH identifiés au cours de la phase d’analyse sont effectuées à l’aide de paires de noms d’utilisateur et de mots de passe courants présents dans le binaire ELF lui-même. On soupçonne les serveurs SSH et Redis d’être des vecteurs de propagation pour la variante MIPS, car il est possible d’exécuter un serveur Redis sur MIPS à l’aide d’un paquet OpenWrt connu sous le nom de redis-server. L’une des principales méthodes d’évasion utilisées est une vérification visant à déterminer si le processus est en cours d’analyse et, le cas échéant, à se terminer, ainsi qu’une tentative de désactiver les « Linux core dumps », qui sont des fichiers générés automatiquement par le noyau après qu’un processus se soit arrêté de manière inattendue. La variante MIPS comprend également un module DLL Windows 64 bits intégré pour Redis, qui permet l’exécution de commandes shell sur un système compromis.

« Il s’agit non seulement d’un développement intéressant en ce sens qu’il démontre l’élargissement du champ d’action des développeurs de P2PInfect (plus d’architectures de processeurs prises en charge équivaut à plus de nœuds dans le botnet lui-même), mais l’échantillon MIPS32 comprend également des techniques d’évasion notables », a déclaré M. Cado. « Ces éléments, combinés à l’utilisation de Rust par le logiciel malveillant (qui facilite le développement multiplateforme) et à la croissance rapide du réseau de zombies lui-même, renforcent les suggestions précédentes selon lesquelles cette campagne est menée par un acteur sophistiqué de la menace.