Yeni P2PInfect Botnet MIPS Varyantı Hedefleme Yönlendiricileri ve IoT Cihazları

Siber güvenlik araştırmacıları, son zamanlarda ortaya çıkan P2PInfect botnet'in yeni bir versiyonunu tespit etti. Bu güncellenmiş sürüm, Cado Security Labs tarafından bildirdiğine göre, özellikle router'ları ve IoT cihazlarını hedef alacak şekilde tasarlanmıştır. MIPS mimarisi için derlenmiş olan bu güncellenmiş versiyon, yeteneklerini genişleterek potansiyel etkisini artırmıştır.

Güvenlik araştırmacısı Matt Muir'e göre, MIPS'i hedefleme kararı, kötü amaçlı yazılımın router'ları ve IoT cihazlarını enfekte etme niyetini ortaya koymaktadır. Temelde Rust tabanlı bir kötü amaçlı yazılım olan P2PInfect, ilk olarak Temmuz 2023'te, başlangıç erişimi için yamalanmamış Redis örneklerinde kritik bir Lua kum havuzu kaçış zafiyeti (CVE-2022-0543, CVSS puanı: 10.0) kullanarak ortaya çıktı. Eylül ayındaki sonraki analizler, yeni malware varyasyonlarının yayımlanması ile eşzamanlı olarak artan P2PInfect etkinliğini vurguladı.

Yeni keşfedilen artefaktlar, yalnızca 32-bit MIPS işlemcilere sahip cihazlarda SSH brute-force saldırıları gerçekleştirmekle kalmaz, aynı zamanda algılanmayı önlemek için gelişmiş kaçınma ve anti-analiz tekniklerini de içerir. Tarama aşamasında, SSH sunucularına karşı yapılan brute-force girişimleri, ELF ikilisi içinde bulunan yaygın kullanıcı adı ve şifre çiftlerini kullanmaktadır.

MIPS varyantının yayılma vektörleri olarak hem SSH hem de Redis sunucularının kullanıldığı şüphelenmektedir. Bu şüphe, MIPS üzerinde OpenWrt paketi olarak bilinen redis-server'ı kullanarak bir Redis sunucusu çalıştırma olasılığından kaynaklanmaktadır.

Kötü amaçlı yazılım, analiz altında iken kendini sonlandırma gibi dikkate değer kaçınma taktikleri kullanmaktadır ve beklenmedik işlem çökmelerinden sonra çekirdek tarafından üretilen Linux çekirdek dökümlerini devre dışı bırakma çabasında bulunmaktadır. MIPS varyantı ayrıca, etkilenen sistemlerde shell komutlarını yürütme olanağını kolaylaştırmak amacıyla gömülü bir 64-bit Windows DLL modülü içermektedir.

Cado Security, bu gelişmenin P2PInfect geliştiricilerinin kapsamını genişlettiğini vurguluyor. Ek işlemci mimarilerine destek eklenmesi, potansiyel olarak daha büyük bir botnet'e yol açabilir. Rust'ın çapraz platform geliştirmesi için kullanılması, botnet'in hızlı büyümesiyle birleşerek, kampanyanın sofistike bir tehdit aktörü tarafından yönetildiği şüphelerini güçlendiriyor.