P2PInfect는 원래 목적이 불분명한 피어 투 피어(P2P) 맬웨어 봇넷이었으나, 최근에 랜섬웨어 모듈과 암호화폐 채굴 모듈을 통해 Redis 서버를 공격하고 있습니다. Cado Security에 따르면, P2PInfect는 "대여용 봇넷"으로 작동하는 것으로 보이지만, 이에 대한 명확한 결론을 내리기에는 충돌하는 정보가 있어 어렵습니다. P2PInfect는 2023년 7월에 처음으로 문서화되었으며, 알려진 취약점을 이용해 Redis 서버를 공격했습니다.
2024년 5월 16일부터 P2PInfect에 감염된 장치들은 지정된 URL에서 랜섬웨어 페이로드(rsagen)를 다운로드하고 실행하는 명령을 받았습니다. 랜섬웨어는 특정 확장자를 가진 파일들을 대상으로 하며, 암호화된 파일에는 '.encrypted' 확장자를 추가합니다. 또한, 이전 버전에서 비활성화 상태였던 XMR(모네로) 채굴기가 활성화되었으며, 이 채굴기는 주요 페이로드가 시작된 후 5분이 지나면 임시 디렉토리에 드롭되어 실행됩니다.
Cado의 연구에 따르면, P2PInfect가 여러 사이버 범죄자에게 대여되는지, 아니면 핵심 팀에 의해 운영되는지에 대한 결론은 아직 모호합니다. 그러나 P2PInfect가 더 이상 실험 단계가 아니라 실제로 Redis 서버에 위협이 되며, 데이터를 파괴하고 이익을 위해 계산 자원을 장악할 수 있다는 것은 분명합니다.
요약
- P2PInfect는 원래 불분명한 목적의 P2P 맬웨어 봇넷이었으나, 최근에는 랜섬웨어와 암호화폐 채굴 모듈을 통해 Redis 서버를 공격하고 있다.
- 2024년 5월 16일부터 P2PInfect에 감염된 장치들은 랜섬웨어 페이로드를 다운로드하고 실행하는 명령을 받았으며, 이 랜섬웨어는 특정 확장자를 가진 파일들을 대상으로 한다.
- P2PInfect가 여러 사이버 범죄자에게 대여되는지, 아니면 핵심 팀에 의해 운영되는지에 대한 결론은 아직 모호하나, 이것이 Redis 서버에 실제 위협이 되며 데이터를 파괴하고 이익을 위해 계산 자원을 장악할 수 있다는 것은 분명하다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.