露出したRedisインスタンスを経由してGoogle Kubernetes Engine(GKE)クラスターを標的とした執拗なP2Pinfectボットネットキャンペーンは、単一のクラウド設定誤りがいかに長期的な侵害を可能にするかを浮き彫りにしています。
調査された複数の環境では、攻撃者は最大6か月間のアクセスを維持し、FortiCNAPP複合アラートを通じて一貫したボットネット活動が検出されました。
侵入チェーンは公開されている露出したRedisサービスから始まり、これは既知の攻撃対象領域です。脅威アクターはこれらの設定誤りを利用してP2Pinfectを展開しました。
この自己伝播マルウェアは、ワーム的な機能と分散型のピア・ツー・ピア(P2P)アーキテクチャを組み合わせています。
集中型のコマンド・アンド・コントロール(C2)サーバーに依存する従来のボットネットとは異なり、P2Pinfectはピアノードのメッシュネットワークを使用します。
この設計により、シンクホールなどの中断努力が大幅に困難になります。一度内部に入ると、感染したシステムは非標準ポート上でピアノードと継続的に通信し、明らかな第2段階ペイロードをトリガーすることなく永続性を維持します。
FortiGuard Labsは最近複数のクライアント企業のGoogle Kubernetes Engine(GKE)クラスター内に、執拗なP2Pinfect拠点を確認しました。
観察されたインシデントでは後続ペイロードが実行されませんでしたが、P2Pinfectはランサムウェアまたはクリプトマイナーを展開する前に長期間休止していることが知られています。一部のバリアントには、ユーザーモードrootkit機能も含まれており、ステルス永続性を実現します。
Fortinet telemetryは、ボットネットが「ボットネット・フォー・ハイア」プラットフォームとして動作し、オペレーターが感染のスケーリングに焦点を当てる一方、顧客が後で独自の悪意あるペイロードを展開する可能性があることを示唆しています。これにより、継続的なビーコン活動にもかかわらず長期間の非活動が説明されます。
P2PInfectボットネットがKubernetesを標的に
研究者は、deplyoer.shという名前の新しいシェルベースのドロッパースクリプト(MD5:80676a539765a9e117f20b6b99887eca)を特定しました。このスクリプトはリモートサーバーからUPXパックされたRustバイナリをダウンロードし、大きなbase64エンコードされた引数で実行します。
複数のピアと通信する展開シェルスクリプトも識別されました。複数のピアノードがSSHおよびエクスプロイト攻撃について独立してフラグ付けされました。
ペイロードはChaCha20暗号化を使用しますが、キーとnonceの両方がまったくのゼロバイトで構成されているため、暗号化は無効になり、主に難読化として機能します。
デコードされると、ペイロードはピアノード(IP:ポート組み合わせ)の構造化されたリストを明かし、感染したシステムをボットネットネットワークにブートストラップします。
この一貫した展開方法は、P2Pinfectのモジュール化された自動的な伝播戦略を強化します。
このキャンペーンの注目すべき進展は、Redisエクスプロイテーション以外へのボットネットの拡大です。
FortiGuardは、感染したRedisノードが、CVE-2025-11953の悪用に関連するピアと通信するのを観察しました。これはMetro4Shellとしても知られ、React Native Metroサーバーの重大なリモートコード実行脆弱性です。
2025年11月から2026年2月の間に、複数のボットネットピアがMetro4Shellエクスプロイトを経由してP2Pinfectバイナリを配布するインフラストラクチャに関連していました。
これらのペイロードはFortinet telemetryで観察されたサンプルと一致し、脅威アクターが公開の概念実証(PoC)コードが利用可能になった直後に脆弱性を急速に武器化したことを示しています。
このシフトは、新しく開示された脆弱性をその感染チェーンに組み込むP2Pinfectの進化する能力を示しています。
研究者はまた、初期アクセスベクトルとしてCVE-2025-49844(RediShell)、Redis Luaサンドボックスエスケープ脆弱性の使用の可能性を評価しました。確認されていませんが、キャンペーンのタイムラインの間、複数の侵害されたシステムがパッチされず、脆弱なままでした。
RediShellはCVE-2022-0543と類似性を共有しており、これはP2Pinfectが使用する既知のエクスプロイトです。さらに、攻撃者は、SLAVEOFコマンドなどのRedisレプリケーション機能を使用して、露出したノード上で悪意あるコードを実行した可能性があります。
タイミングと露出条件を考えると、RediShellはもっともらしいが確認されていない感染経路と見なされます。
興味深い重複として、4つの侵害されたRedisノードも、別のReact2Shellキャンペーンが2025年12月に活動していたことに起因するクリプトマイナーに感染していました。
これは、脆弱なクラウド環境が、類似の弱点を悪用する複数の脅威アクターによって同時に標的にされる可能性があることを示唆しています
軽減策
組織は、以下の方法でP2Pinfectおよび同様の脅威への露出を軽減できます:
- Redisインスタンスへのパブリックアクセスを制限し、認証を強制する。
- Metro4ShellおよびRedis関連の欠陥を含む既知の脆弱性にパッチを適用する。
- 異常なピア・ツー・ピア通信パターンのアウトバウンドトラフィックを監視する。
- 異常な動作と永続性メカニズムを検出するためにクラウドネイティブセキュリティツールを使用する。
- Kubernetes設定と露出したサービスを定期的に監査する。
このキャンペーンは、クラウドセキュリティの重大な現実を強調しています。単一の露出したサービスでさえ、攻撃者に永続的な足がかりを提供できます。
P2Pinfectが進化を続け、新しいエクスプロイトを統合する中で、プロアクティブな構成管理と継続的な監視は、長期的な侵害に対する本質的な防御のままです。
翻訳元: https://gbhackers.com/p2pinfect-botnet-targets-kubernetes/
