Cado Securityは2023年12月4日(英国時間)、「P2Pinfect - New Variant Targets MIPS Devices - Cado Security|Cloud Forensics & Incident Response」において、Microprocessor without Interlocked Pipelined Stages(MIPS)アーキテクチャ向けのクロスプラットフォームボットネット「P2Pinfect」の亜種を発見したと報じた。MIPSアーキテクチャを採用しているデバイスとしてはルータやモノのインターネット(IoT: Internet of Things)製品が多いため、P2Pinfectの開発者はこれらデバイスを新しい標的としたものとみられている。
-
P2Pinfect - New Variant Targets MIPS Devices - Cado Security|Cloud Forensics & Incident Response
新しく発見されたP2Pinfectの亜種は、CadoのSSHハニーポット(攻撃を解析するために設置された罠)にSFTPおよびSCP経由でアップロードされたという。過去に発見されたP2Pinfectの別の亜種においても、SSHサーバをスキャンしてマルウェアの増殖を試みる動作が確認されていたが、これまで成功した例は確認されていなかったとのこと。
今回発見されたMIPS向けのP2Pinfectの亜種には過去に漏洩したユーザー名とパスワードのペアが保存されており、これを用いてSSHサーバにブルートフォース攻撃を仕掛け、侵入と増殖を行うとみられている。
Cadoは入手したP2Pinfectの亜種について静的分析では、このマルウェアには動的分析を回避するための機能と、システムのコアダンプを無効化する機能が含まれていることがわかっている。これはマルウェアの分析を妨害するための機能とみられている。
また、マルウェアにはELF形式の実行ファイルと、Windowsのダイナミックリンクライブラリ(DLL: Dynamic Link Library)が含まれていることが確認されている。WindowsのダイナミックリンクライブラリはRedisの追加モジュールとして動作するように設計されており、侵害したシステム上で任意のシェルコマンドを実行できるようにする機能があるとされる。
CadoはP2Pinfectの継続的な進化と標的の拡大から、脅威アクターには強い決意と能力があるとして注意を促している。MIPSアーキテクチャを採用したルータなどを運用している管理者には、このような攻撃からデバイスを保護するためにインターネットからのSSH接続を制限するか、または禁止するなどの対策を実施することが推奨されている。
