P2PInfect僵尸网络急速扩张，攻击频率激增600倍，全球大规模入侵

Cado Security的研究人员自2023年7月底以来一直在跟踪僵尸网络，近日报告称，违规行为影响了美国、德国、新加坡、英国和日本等多国的系统。此外，最新的P2PInfect样本具有添加和改进功能，使其更容易攻击到目标，这展示了该恶意软件的不断发展。

活动急剧增加

P2PInfect僵尸网络的活动不断增长，表明该恶意软件已经进入了代码稳定的新时期，操作能力得到提高。

研究人员报告称，P2PInfect对其蜜罐进行的首次访问尝试数量稳步增加，截至2023年8月24日，单个传感器共发生4064起事件。到2023年9月3日，首次访问事件增加了两倍，但仍然相对较低。

然后，在2023年9月12日至19日的一周内，P2PInfect活动激增，仅在此期间，Cado就记录了3619次访问尝试，增长了600倍。

Cado解释道：“P2Pinfect流量的增加与野外出现的变种数量的增加相吻合，这表明恶意软件的开发人员正以极高的开发速度运行。”

P2PInfect的新功能

在活动增加的同时，Cado观察到新的样本使P2PInfect成为更隐秘、更可怕的威胁。

首先，该恶意软件添加了一个基于cron的持久性机制，取代了以前的“bash_loout”方法，每30分钟触发一次主负载。

此外，P2Pinfect现在使用（辅助）bash负载通过本地服务器套接字与主负载通信，如果主进程停止或被删除，它会从对等端检索副本并重新启动它。

该恶意软件还使用了SSH密钥覆盖被破坏端点上的所有SSH authorized_keys，以阻止合法用户通过SSH登录。

如果恶意软件具有root访问权限，它将使用自动生成的10个字符的密码为系统上的其他用户执行密码更改，将其锁定。

最后，P2PInfect现在还为其客户端使用C结构配置，该配置不断动态更新，而以前它没有配置文件。

目标不明确

Cado报告称，它最近观察到的P2PInfect变体试图获取矿工有效载荷，但在受损设备上没有看到实际的加密挖掘活动。因此，目前尚不清楚恶意软件运营商是否仍在试验攻击的最后一步。

僵尸网络的运营商可能正在增强矿工组件或寻求P2PInfect订阅的买家，因此他们将矿工用作演示的假人。

考虑到当前僵尸网络的规模、传播、自我更新功能以及本月的快速扩展，P2PInfect是一个需要关注的重大威胁。