মুহস্তিক ম্যালওয়্যার

Muhstik botnet, তার বিতরণকৃত ডিনায়াল-অফ-সার্ভিস (DDoS) আক্রমণের জন্য কুখ্যাত, Apache RocketMQ-তে সম্প্রতি প্যাচ করা দুর্বলতাকে কাজে লাগাতে দেখা গেছে। এই শোষণ মুহস্টিককে দুর্বল সার্ভার হাইজ্যাক করার অনুমতি দেয়, তার নেটওয়ার্কের নাগাল এবং প্রভাব বাড়ায়। মুহস্তিক, একটি দীর্ঘস্থায়ী বিপদ, আইওটি (ইন্টারনেট-অফ-থিংস) ডিভাইস এবং লিনাক্স সার্ভারগুলিকে লক্ষ্য করার ক্ষেত্রে বিশেষজ্ঞ। এটি ডিভাইসগুলিকে সংক্রামিত করার দক্ষতা, ক্রিপ্টোকারেন্সি মাইনিং এবং ডিডিওএস আক্রমণের জন্য তাদের ব্যবহার করার জন্য কুখ্যাত।

মুহস্টিক বটনেট ডিভাইসগুলিকে সংক্রমিত করার জন্য সফ্টওয়্যার দুর্বলতাগুলিকে কাজে লাগায়

2018 সালে এটির প্রথম ডকুমেন্টেশনের পর থেকে, ম্যালওয়্যার-চালিত আক্রমণ প্রচারগুলি ধারাবাহিকভাবে পরিচিত নিরাপত্তা দুর্বলতাগুলিকে লক্ষ্য করে, বিশেষ করে ওয়েব অ্যাপ্লিকেশনগুলিতে পাওয়া যায়৷

উদ্ভূত সবচেয়ে সাম্প্রতিক শোষণ হল CVE-2023-33246, Apache RocketMQ-কে প্রভাবিত করে এমন একটি গুরুতর ত্রুটি। এই দুর্বলতা দূরবর্তী, অপ্রমাণিত আক্রমণকারীদের RocketMQ প্রোটোকল বিষয়বস্তু ম্যানিপুলেট করে বা আপডেট কনফিগারেশন বৈশিষ্ট্য শোষণ করে নির্বিচারে কোড কার্যকর করতে সক্ষম করে।

প্রাথমিক অ্যাক্সেস পাওয়ার জন্য এই দুর্বলতাকে কাজে লাগানোর পরে, হুমকি অভিনেতারা দূরবর্তী আইপি ঠিকানায় হোস্ট করা একটি শেল স্ক্রিপ্ট কার্যকর করে। এই স্ক্রিপ্টটি একটি পৃথক সার্ভার থেকে মুহস্টিক বাইনারি ('pty3') আনার জন্য দায়ী।

এর ক্ষতিকারক পেলোড সরবরাহ করার জন্য সনাক্তকরণ এড়ানো

একবার আক্রমণকারী তাদের ক্ষতিকারক পেলোড আপলোড করার জন্য RocketMQ দুর্বলতাকে কাজে লাগালে, তারা তাদের ক্ষতিকারক কোড কার্যকর করার ক্ষমতা অর্জন করে, যার ফলে Muhstik ম্যালওয়্যার ডাউনলোড হয়।

আপস করা হোস্টের উপর স্থিরতা বজায় রাখার জন্য, ম্যালওয়্যার বাইনারি বিভিন্ন ডিরেক্টরিতে অনুলিপি করা হয়, এবং /etc/inittab ফাইলে পরিবর্তন করা হয়, যা Linux সার্ভার বুট প্রক্রিয়া পরিচালনার জন্য দায়ী, অনিরাপদ প্রক্রিয়া স্বয়ংক্রিয়ভাবে পুনরায় চালু হয় তা নিশ্চিত করে।

অধিকন্তু, ম্যালওয়্যার বাইনারিটির নাম দেওয়া হয়েছে 'pty3' একটি pseudoterminal ('pty') হিসাবে উপস্থিত হওয়ার এবং সনাক্তকরণ এড়াতে। আরেকটি ফাঁকি দেওয়ার কৌশলের মধ্যে রয়েছে ম্যালওয়্যারকে /dev/shm, /var/tmp, /run/lock, এবং /রান করার মতো ডিরেক্টরিতে অনুলিপি করা, মেমরি থেকে সরাসরি কার্যকর করা এবং সিস্টেমে ট্রেস প্রতিরোধ করা।

আক্রমণকারীরা সংক্রামিত ডিভাইসগুলিকে বিভিন্ন উপায়ে ব্যবহার করতে পারে

মুহস্টিক সিস্টেম মেটাডেটা সংগ্রহ করার ক্ষমতা দিয়ে সজ্জিত, সিকিউর শেল (SSH) এর মাধ্যমে ডিভাইস জুড়ে পার্শ্ববর্তীভাবে সরানো এবং ইন্টারনেট রিলে চ্যাট (IRC) প্রোটোকল ব্যবহার করে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) ডোমেনের সাথে যোগাযোগ স্থাপন করা।

এই ম্যালওয়্যারের চূড়ান্ত লক্ষ্য হল নির্দিষ্ট লক্ষ্যগুলির বিরুদ্ধে বিভিন্ন বন্যার আক্রমণে আপোসকৃত ডিভাইসগুলিকে তালিকাভুক্ত করা, কার্যকরভাবে তাদের নেটওয়ার্ক সংস্থানগুলিকে প্লাবিত করা এবং পরিষেবা-অস্বীকার ব্যাঘাত ঘটানো৷

ত্রুটিটি জনসাধারণের প্রকাশের এক বছরেরও বেশি সময় সত্ত্বেও, এখনও ইন্টারনেটে Apache RocketMQ-এর 5,216টি উদাহরণ উন্মোচিত হয়েছে। সম্ভাব্য হুমকিগুলি প্রশমিত করার জন্য সংস্থাগুলির সর্বশেষ সংস্করণে আপডেট করা অত্যন্ত গুরুত্বপূর্ণ৷

অধিকন্তু, পূর্ববর্তী প্রচারাভিযানগুলি মুহস্টিক ম্যালওয়্যার সম্পাদনের পরে ক্রিপ্টোমিনিং কার্যকলাপ দেখায়। এই ক্রিয়াকলাপগুলি একে অপরের পরিপূরক কারণ আক্রমণকারীরা আপোসকৃত ডিভাইসগুলির গণনা শক্তিকে কাজে লাগিয়ে তাদের ক্রিপ্টোকারেন্সি মাইনিং প্রচেষ্টায় সহায়তা করে আরও মেশিনকে প্রসারিত করতে এবং সংক্রামিত করতে চায়।