Peneliti keamanan siber baru-baru ini mengidentifikasi varian baru dari botnet P2PInfect yang muncul, yang mampu menargetkan router dan perangkat IoT. Cado Security Labs melaporkan bahwa versi terbaru malware ini dikompilasi secara khusus untuk arsitektur Mikroprosesor tanpa Interlocked Pipelined Stages (MIPS), sehingga memperluas kemampuan dan potensi dampaknya. Peneliti keamanan Matt Muir berpendapat bahwa fokus pada MIPS menunjukkan upaya yang disengaja oleh pengembang P2PInfect untuk menginfeksi router dan perangkat IoT dengan malware.
P2PInfect, yang pertama kali diungkapkan pada Juli 2023 sebagai malware berbasis Rust, awalnya menargetkan instans Redis yang belum ditambal dengan mengeksploitasi kerentanan escape sandbox Lua yang kritis (CVE-2022-0543, skor CVSS: 10.0) untuk mendapatkan akses awal. Analisis selanjutnya yang dilakukan oleh perusahaan keamanan cloud pada bulan September mengungkapkan peningkatan aktivitas P2PInfect, bertepatan dengan dirilisnya varian berulang dari malware tersebut.
Artefak terbaru dari P2PInfect tidak hanya mencoba serangan brute force SSH pada perangkat tertanam dengan prosesor MIPS 32-bit tetapi juga menggabungkan teknik penghindaran dan anti-analisis yang diperbarui untuk beroperasi secara diam-diam. Selama fase pemindaian, upaya brute force terhadap server SSH diamati, memanfaatkan pasangan nama pengguna dan kata sandi umum yang ada dalam biner ELF itu sendiri. Diduga server SSH dan Redis berfungsi sebagai vektor propagasi untuk varian MIPS, mengingat kemungkinan menjalankan server Redis di MIPS menggunakan paket OpenWrt yang dikenal sebagai redis-server.
Malware ini menggunakan metode penghindaran yang terkenal, termasuk pemeriksaan untuk menentukan apakah malware tersebut sedang dianalisis, menghentikan dirinya sendiri jika terdeteksi, dan upaya untuk menonaktifkan dump inti Linux yang dihasilkan setelah suatu proses mengalami crash secara tidak terduga. Selain itu, varian MIPS dilengkapi modul Windows DLL 64-bit yang tertanam untuk Redis, memungkinkan eksekusi perintah shell pada sistem yang disusupi.
Cado menggarisbawahi pentingnya perkembangan ini, menekankan perluasan cakupan bagi pengembang P2PInfect dengan dukungan untuk lebih banyak arsitektur prosesor, sehingga menghasilkan botnet yang lebih besar. Penggabungan Rust untuk pengembangan lintas platform dan pertumbuhan botnet yang pesat memperkuat keyakinan bahwa kampanye ini diatur oleh pelaku ancaman yang canggih.
Fitur Utama Varian MIPS
- Menargetkan Perangkat MIPS: Varian baru ini menargetkan perangkat dengan prosesor MIPS 32-bit, seperti router dan perangkat IoT, yang lazim dalam sistem tertanam seperti router, gateway perumahan, dan konsol video game.
- Serangan Brute-Force SSH: Malware mencoba mengunggah biner MIPS melalui SFTP dan SCP, dan juga menggunakan kredensial yang lemah untuk mencoba serangan brute-force SSH pada perangkat.
- Server Redis di Perangkat MIPS: Para peneliti melihat upaya untuk menjalankan server Redis pada perangkat MIPS melalui paket OpenWRT bernama ‘redis-server’.
- Modul DLL Windows 64-bit yang tertanam: P2Pinfect baru adalah biner ELF 32-bit tanpa informasi debug dan Windows DLL 64-bit yang tertanam, yang bertindak sebagai modul yang dapat dimuat untuk Redis guna mengaktifkan eksekusi perintah shell pada host.
- Mekanisme Penghindaran: Varian terbaru menerapkan mekanisme penghindaran yang canggih dan beragam, menjadikan pendeteksian dan analisisnya lebih menantang.
Dampak dan Prevalensi
P2Pinfect telah dilaporkan di negara-negara seperti Cina, Amerika Serikat, Jerman, Inggris, Singapura, Hong Kong, dan Jepang. Pertumbuhan malware dan meningkatnya jumlah varian yang terdeteksi di alam liar menunjukkan bahwa pembuatnya secara aktif meningkatkan bot mereka.
Untuk melindungi dari ancaman ini, penting untuk selalu memperbarui perangkat, menggunakan kredensial yang kuat, dan menerapkan langkah-langkah keamanan yang kuat.
Sumber :
https://thehackernews.com/2023/12/new-p2pinfect-botnet-mips-variant.html?m=1
https://www.bleepingcomputer.com/news/security/stealthier-version-of-p2pinfect-malware-targets-mips-devices/
https://securityaffairs.com/155206/malware/p2pinfect-bot-routers-iot-devices.html
https://youtube.com/watch?v=DRU-5ZmORIs
https://linuxsecurity.com/news/iot-security/rust-based-botnet-p2pinfect-targets-mips-architecture
https://www.freepik.com/author/UveElena