Muhstik Malware
Muhstik-botnettet, der er berygtet for dets distribuerede Denial-of-Service (DDoS)-angreb, er blevet set udnytte en nyligt rettet sårbarhed i Apache RocketMQ. Denne udnyttelse gør det muligt for Muhstik at kapre sårbare servere, hvilket øger netværkets rækkevidde og indflydelse. Muhstik, en langvarig trussel, har specialiseret sig i at målrette mod IoT (Internet-of-Things)-enheder og Linux-servere. Det er berygtet for sin dygtighed til at inficere enheder, bruge dem til cryptocurrency-mining og orkestrere DDoS-angreb.
Indholdsfortegnelse
Muhstik Botnet udnytter softwaresårbarheder til at inficere enheder
Siden den første dokumentation i 2018 har malware-drevne angrebskampagner konsekvent målrettet kendte sikkerhedssårbarheder, især dem, der findes i webapplikationer.
Den seneste udnyttelse, der dukkede op, er CVE-2023-33246, en kritisk fejl, der påvirker Apache RocketMQ. Denne sårbarhed gør det muligt for eksterne, uautoriserede angribere at udføre vilkårlig kode ved at manipulere RocketMQ-protokolindhold eller udnytte opdateringskonfigurationsfunktionen.
Efter at have udnyttet denne sårbarhed til at få indledende adgang, udfører trusselsaktører et shell-script, der hostes på en ekstern IP-adresse. Dette script er ansvarligt for at hente Muhstik binær ('pty3') fra en separat server.
Undgå detektion for at levere dens skadelige nyttelast
Når først angriberen udnytter RocketMQ-sårbarheden til at uploade deres skadelige nyttelast, får de mulighed for at udføre deres skadelige kode, hvilket fører til download af Muhstik-malwaren.
For at opretholde vedholdenhed på den kompromitterede vært, kopieres malware-binæren til forskellige mapper, og der foretages ændringer i /etc/inittab-filen, der er ansvarlig for styring af Linux-serverstartprocesser, hvilket sikrer, at den usikre proces genstarter automatisk.
Desuden er malware-binæren navngivet 'pty3' i et forsøg på at fremstå som en pseudoterminal ('pty') og undgå registrering. En anden undvigelsestaktik involverer kopiering af malware til mapper som /dev/shm, /var/tmp, /run/lock og /run under persistens, hvilket muliggør direkte eksekvering fra hukommelsen og forhindrer spor på systemet.
Angribere kan udnytte de inficerede enheder på adskillige måder
Muhstik er udstyret med muligheder for at indsamle systemmetadata, bevæge sig sideværts på tværs af enheder via Secure Shell (SSH) og etablere kommunikation med et Command-and-Control (C2) domæne ved hjælp af Internet Relay Chat (IRC) protokollen.
Det ultimative mål med denne malware er at skaffe kompromitterede enheder til forskellige oversvømmelsesangreb mod specifikke mål, der effektivt oversvømmer deres netværksressourcer og forårsager denial-of-service-forstyrrelser.
På trods af mere end et år siden den offentlige offentliggørelse af fejlen, er der stadig 5.216 tilfælde af Apache RocketMQ afsløret på internettet. Det er afgørende for organisationer at opdatere til den nyeste version for at afbøde potentielle trusler.
Ydermere har tidligere kampagner vist kryptominerende aktivitet, der forekommer efter udførelse af malware efter Muhstik. Disse aktiviteter supplerer hinanden, efterhånden som angribere søger at sprede sig og inficere flere maskiner, og hjælper dem i deres cryptocurrency-minebestræbelser ved at udnytte computerkraften fra kompromitterede enheder.
