البرامج الضارة Muhstik
تم رصد شبكة الروبوتات Muhstik، المشهورة بهجمات رفض الخدمة الموزعة (DDoS)، وهي تستغل ثغرة أمنية تم تصحيحها مؤخرًا في Apache RocketMQ. يسمح هذا الاستغلال لـ Muhstik باختراق الخوادم الضعيفة، مما يعزز وصول شبكتها وتأثيرها. Muhstik، وهو تهديد طويل الأمد، متخصص في استهداف أجهزة إنترنت الأشياء (إنترنت الأشياء) وخوادم Linux. إنه مشهور بكفاءته في إصابة الأجهزة، واستخدامها في تعدين العملات المشفرة، وتنظيم هجمات DDoS.
جدول المحتويات
تستغل شبكة Muhstik Botnet الثغرات الأمنية في البرامج لإصابة الأجهزة
منذ التوثيق الأول في عام 2018، استهدفت حملات الهجوم التي تعتمد على البرامج الضارة باستمرار الثغرات الأمنية المعروفة، لا سيما تلك الموجودة في تطبيقات الويب.
أحدث استغلال ظهر هو CVE-2023-33246، وهو عيب خطير يؤثر على Apache RocketMQ. تتيح هذه الثغرة الأمنية للمهاجمين عن بعد وغير المصادق عليهم تنفيذ تعليمات برمجية عشوائية عن طريق معالجة محتوى بروتوكول RocketMQ أو استغلال ميزة تكوين التحديث.
بعد استغلال هذه الثغرة الأمنية للوصول الأولي، تقوم جهات التهديد بتنفيذ برنامج نصي shell مستضاف على عنوان IP بعيد. هذا البرنامج النصي مسؤول عن جلب ملف Muhstik الثنائي ('pty3') من خادم منفصل.
تجنب الكشف عن تسليم حمولتها الضارة
بمجرد أن يستغل المهاجم ثغرة RocketMQ لتحميل حمولته الضارة، فإنه يكتسب القدرة على تنفيذ تعليماته البرمجية الضارة، مما يؤدي إلى تنزيل برنامج Muhstik الضار.
للحفاظ على استمرارية المضيف المخترق، يتم نسخ البرنامج الثنائي للبرامج الضارة إلى أدلة مختلفة، ويتم إجراء تعديلات على الملف /etc/inittab، المسؤول عن إدارة عمليات تمهيد خادم Linux، مما يضمن إعادة تشغيل العملية غير الآمنة تلقائيًا.
علاوة على ذلك، تم تسمية البرنامج الثنائي الضار باسم "pty3" في محاولة للظهور كطرف زائف ("pty") والتهرب من اكتشافه. يتضمن أسلوب التهرب الآخر نسخ البرامج الضارة إلى أدلة مثل /dev/shm، و/var/tmp، و/run/lock، و/run أثناء الثبات، مما يتيح التنفيذ المباشر من الذاكرة ويمنع التتبع على النظام.
قد يستغل المهاجمون الأجهزة المصابة بطرق عديدة
تم تجهيز Muhstik بإمكانيات جمع بيانات تعريف النظام، والتحرك أفقيًا عبر الأجهزة عبر Secure Shell (SSH)، وإنشاء اتصال مع مجال القيادة والتحكم (C2) باستخدام بروتوكول Internet Relay Chat (IRC).
الهدف النهائي لهذه البرامج الضارة هو تجنيد الأجهزة المخترقة في هجمات غمر مختلفة ضد أهداف محددة، مما يؤدي إلى إغراق موارد الشبكة بشكل فعال والتسبب في انقطاع الخدمة.
على الرغم من مرور أكثر من عام على الكشف العلني عن الخلل، لا يزال هناك 5216 حالة من Apache RocketMQ مكشوفة على الإنترنت. من الضروري أن تقوم المؤسسات بالتحديث إلى الإصدار الأحدث للتخفيف من التهديدات المحتملة.
علاوة على ذلك، أظهرت الحملات السابقة نشاطًا في مجال تعدين العملات المشفرة يحدث بعد تنفيذ البرامج الضارة Muhstik. تكمل هذه الأنشطة بعضها البعض حيث يسعى المهاجمون إلى الانتشار وإصابة المزيد من الأجهزة، مما يساعدهم في مساعيهم لاستخراج العملات المشفرة من خلال الاستفادة من القوة الحسابية للأجهزة المخترقة.
