Muhstik Malware
Ботнетът Muhstik, известен със своите разпределени атаки за отказ от услуга (DDoS), беше забелязан да използва наскоро коригирана уязвимост в Apache RocketMQ. Този експлойт позволява на Muhstik да отвлича уязвими сървъри, подобрявайки обхвата и въздействието на своята мрежа. Muhstik, дългогодишна заплаха, е специализирана в насочването към IoT (Internet-of-Things) устройства и Linux сървъри. Той е скандален с опитността си в заразяването на устройства, използването им за копаене на криптовалута и организирането на DDoS атаки.
Съдържание
Ботнетът Muhstik използва уязвимости в софтуера, за да зарази устройства
От първото си документиране през 2018 г. кампаниите за атаки, управлявани от зловреден софтуер, постоянно са насочени към известни уязвимости в сигурността, особено тези, открити в уеб приложенията.
Най-новият експлойт, който се появи, е CVE-2023-33246, критичен пропуск, засягащ Apache RocketMQ. Тази уязвимост позволява на отдалечени, неупълномощени нападатели да изпълняват произволен код чрез манипулиране на съдържанието на протокола RocketMQ или експлоатиране на функцията за актуализиране на конфигурацията.
След като използват тази уязвимост, за да получат първоначален достъп, участниците в заплахата изпълняват shell скрипт, хостван на отдалечен IP адрес. Този скрипт отговаря за извличането на двоичния файл на Muhstik ('pty3') от отделен сървър.
Избягване на откриване, за да се достави неговият вреден полезен товар
След като атакуващият използва уязвимостта на RocketMQ, за да качи своя вреден полезен товар, той получава възможността да изпълни своя вреден код, което води до изтеглянето на злонамерения софтуер Muhstik.
За да се поддържа постоянство на компрометирания хост, двоичният файл на зловреден софтуер се копира в различни директории и се правят модификации във файла /etc/inittab, отговорен за управлението на процесите на зареждане на сървъра на Linux, като се гарантира, че опасният процес се рестартира автоматично.
Освен това двоичният файл на зловреден софтуер е наречен „pty3“ в опит да се появи като псевдотерминал („pty“) и да избегне откриването. Друга тактика за укриване включва копиране на злонамерения софтуер в директории като /dev/shm, /var/tmp, /run/lock и /run по време на постоянство, позволявайки директно изпълнение от паметта и предотвратявайки следи в системата.
Нападателите могат да експлоатират заразените устройства по много начини
Muhstik е оборудван с възможности за събиране на системни метаданни, странично преместване между устройства чрез Secure Shell (SSH) и установяване на комуникация с домейн за командване и управление (C2), използвайки протокола за чат в Интернет (IRC).
Крайната цел на този злонамерен софтуер е да включи компрометирани устройства в различни flooding атаки срещу конкретни цели, ефективно наводнявайки техните мрежови ресурси и причинявайки прекъсвания при отказ на услуга.
Въпреки повече от година от публичното разкриване на пропуска, все още има 5216 екземпляра на Apache RocketMQ, изложени в интернет. За организациите е изключително важно да актуализират до най-новата версия, за да смекчат потенциалните заплахи.
Освен това, предишни кампании показаха криптодобивна дейност, възникваща след изпълнението на зловреден софтуер на Muhstik. Тези дейности се допълват взаимно, тъй като нападателите се стремят да размножават и заразяват повече машини, подпомагайки начинанията си за копаене на криптовалута, като използват изчислителната мощност на компрометирани устройства.
