2023년 7월에 Unit 42에 의해 처음 기록된 P2PInfect는 인터넷에 노출된 Windows와 Linux 시스템에서 원격 코드 실행 결함을 이용해 Redis 인스턴스를 침해하는 피어 투 피어(P2P) 악성 코드입니다. Cado Security 연구자들은 2023년 7월 말부터 이 봇넷을 추적하고 있으며, 최근 중국, 미국, 독일, 싱가포르, 홍콩, 영국, 일본 등에서 시스템 침해가 가장 많이 발생하고 있다고 보고했습니다.
Cado는 P2PInfect 봇넷 활동이 증가하고 있으며, 이 악성 코드 운영을 확대하고 있음을 보고했습니다. 연구자들은 P2PInfect가 수행한 초기 접근 시도 횟수가 꾸준히 증가하고 있음도 보고했습니다. 2023년 9월 12일부터 19일 사이에는 P2PInfect 활동이 급증하였으며, 3,619건의 접근 시도를 기록하였습니다.
활동량 증가와 함께 Cado는 P2PInfect의 새로운 샘플들을 관찰하였습니다. 먼저, 악성 코드 샘플에서 이전의 'bash_logout' 방법을 대체하는 cron 기반의 지속성 메커니즘을 추가했습니다. 또한, P2PInfect는 이제 SSH 키를 사용하여 침해된 엔드포인트에서 SSH authorized_keys를 덮어쓰어 합법적인 사용자가 SSH를 통해 로그인하는 것을 방지합니다.
요약
- P2PInfect는 원격 코드 실행 결함을 이용해 Redis 인스턴스를 침해하는 피어 투 피어 악성 코드로, 최근 활동량이 급증하고 있다.
- Cado Security 연구자들은 P2PInfect의 초기 접근 시도 횟수가 꾸준히 증가하고 있으며, 특히 2023년 9월 12일부터 19일 사이에 활동이 급증하였다고 보고하였다.
- P2PInfect는 이제 cron 기반의 지속성 메커니즘을 사용하고, SSH 키를 사용하여 침해된 엔드포인트에서 SSH authorized_keys를 덮어쓰는 등 새로운 기능을 추가하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.