Muhstik Malware
Botnet Muhstik, známý svými distribuovanými útoky Denial-of-Service (DDoS), byl spatřen, jak využívá nedávno opravenou zranitelnost v Apache RocketMQ. Tento exploit umožňuje Muhstiku unést zranitelné servery, čímž se zvýší dosah a dopad jeho sítě. Muhstik, dlouhodobá hrozba, se specializuje na cílení na zařízení IoT (Internet-of-Things) a linuxové servery. Je nechvalně proslulá svou odborností v infikování zařízení, jejich využívání pro těžbu kryptoměn a organizování DDoS útoků.
Obsah
Botnet Muhstik využívá zranitelnosti softwaru k infikování zařízení
Od své první dokumentace v roce 2018 se útočné kampaně řízené malwarem soustavně zaměřovaly na známá zranitelnosti zabezpečení, zejména na ty, které se nacházejí ve webových aplikacích.
Nejnovějším exploitem, který se objevil, je CVE-2023-33246, kritická chyba ovlivňující Apache RocketMQ. Tato chyba zabezpečení umožňuje vzdáleným neověřeným útočníkům spouštět libovolný kód manipulací s obsahem protokolu RocketMQ nebo zneužitím funkce konfigurace aktualizace.
Po zneužití této chyby zabezpečení k získání počátečního přístupu spouštějí aktéři hrozby shell skript hostovaný na vzdálené IP adrese. Tento skript je zodpovědný za načtení binárního souboru Muhstik ('pty3') ze samostatného serveru.
Vyhýbejte se detekci, abyste dodali jeho škodlivé zatížení
Jakmile útočník zneužije zranitelnost RocketMQ k nahrání své škodlivé zátěže, získá možnost spustit svůj škodlivý kód, což vede ke stažení malwaru Muhstik.
Aby byla zachována perzistence na kompromitovaném hostiteli, binární soubor malwaru je zkopírován do různých adresářů a jsou provedeny úpravy v souboru /etc/inittab, který je zodpovědný za správu procesů spouštění linuxového serveru a zajišťuje automatické restartování nebezpečného procesu.
Binární soubor malwaru je navíc pojmenován „pty3“ ve snaze vypadat jako pseudoterminál („pty“) a vyhnout se detekci. Další úniková taktika zahrnuje zkopírování malwaru do adresářů jako /dev/shm, /var/tmp, /run/lock a /run během persistence, což umožňuje přímé spuštění z paměti a zabraňuje stopám v systému.
Útočníci mohou zneužít infikovaná zařízení mnoha způsoby
Muhstik je vybaven schopnostmi shromažďovat systémová metadata, přesouvat se napříč zařízeními prostřednictvím Secure Shell (SSH) a navázat komunikaci s doménou Command-and-Control (C2) pomocí protokolu Internet Relay Chat (IRC).
Konečným cílem tohoto malwaru je zapojit kompromitovaná zařízení do různých záplavových útoků proti konkrétním cílům, účinně zaplavit jejich síťové zdroje a způsobit narušení odepření služby.
I přes více než rok od zveřejnění chyby je na internetu stále 5 216 případů Apache RocketMQ. Pro organizace je zásadní aktualizovat na nejnovější verzi, aby se zmírnily potenciální hrozby.
Předchozí kampaně navíc ukázaly, že po spuštění malwaru Muhstik dochází k kryptominační aktivitě. Tyto aktivity se vzájemně doplňují, když se útočníci snaží rozšířit a infikovat více strojů, což jim pomáhá při těžbě kryptoměn využitím výpočetního výkonu kompromitovaných zařízení.
