Programari maliciós Muhstik
La botnet Muhstik, coneguda pels seus atacs distribuïts de denegació de servei (DDoS), s'ha detectat explotant una vulnerabilitat recentment pegada a Apache RocketMQ. Aquesta explotació permet a Muhstik segrestar servidors vulnerables, millorant l'abast i l'impacte de la seva xarxa. Muhstik, una amenaça de llarga data, s'especialitza en dispositius IoT (Internet de les coses) i servidors Linux. És famós per la seva habilitat per infectar dispositius, utilitzar-los per a la mineria de criptomonedes i orquestrar assalts DDoS.
Taula de continguts
La botnet Muhstik explota les vulnerabilitats del programari per infectar dispositius
Des de la seva primera documentació el 2018, les campanyes d'atac impulsades per programari maliciós s'han dirigit constantment a les vulnerabilitats de seguretat conegudes, especialment les que es troben a les aplicacions web.
L'explotació més recent que ha sorgit és CVE-2023-33246, un defecte crític que afecta Apache RocketMQ. Aquesta vulnerabilitat permet als atacants remots i no autenticats executar codi arbitrari manipulant el contingut del protocol RocketMQ o aprofitant la funció de configuració d'actualització.
Després d'aprofitar aquesta vulnerabilitat per obtenir l'accés inicial, els actors de l'amenaça executen un script d'intèrpret d'ordres allotjat en una adreça IP remota. Aquest script és responsable d'obtenir el binari Muhstik ('pty3') des d'un servidor separat.
Evitar la detecció per lliurar la seva càrrega útil nociva
Una vegada que l'atacant explota la vulnerabilitat RocketMQ per carregar la seva càrrega útil perjudicial, aconsegueix la capacitat d'executar el seu codi perjudicial, donant lloc a la descàrrega del programari maliciós Muhstik.
Per mantenir la persistència a l'amfitrió compromès, el binari de programari maliciós es copia a diversos directoris i es fan modificacions al fitxer /etc/inittab, responsable de gestionar els processos d'arrencada del servidor Linux, assegurant que el procés no segur es reinicia automàticament.
A més, el binari de programari maliciós s'anomena 'pty3' en un intent d'aparèixer com a pseudoterminal ('pty') i evadir la detecció. Una altra tàctica d'evasió consisteix a copiar el programari maliciós a directoris com /dev/shm, /var/tmp, /run/lock i /run durant la persistència, permetent l'execució directa des de la memòria i evitant rastres al sistema.
Els atacants poden explotar els dispositius infectats de moltes maneres
Muhstik està equipat amb capacitats per recopilar metadades del sistema, moure's lateralment entre dispositius mitjançant Secure Shell (SSH) i establir comunicació amb un domini de comandament i control (C2) mitjançant el protocol de xat de retransmissió d'Internet (IRC).
L'objectiu final d'aquest programari maliciós és reclutar dispositius compromesos en diversos atacs d'inundació contra objectius específics, inundant eficaçment els seus recursos de xarxa i provocant interrupcions de denegació de servei.
Malgrat més d'un any des de la divulgació pública del defecte, encara hi ha 5.216 casos d'Apache RocketMQ exposats a Internet. És fonamental que les organitzacions actualitzin a la darrera versió per mitigar les possibles amenaces.
A més, campanyes anteriors han mostrat que l'activitat de criptomineria es produeix després de l'execució de programari maliciós Muhstik. Aquestes activitats es complementen a mesura que els atacants busquen proliferar i infectar més màquines, ajudant en els seus esforços de mineria de criptomonedes utilitzant la potència computacional dels dispositius compromesos.
