Muhstik Malware
Το botnet Muhstik, διαβόητο για τις κατανεμημένες επιθέσεις Denial-of-Service (DDoS), έχει εντοπιστεί να εκμεταλλεύεται μια ευπάθεια που επιδιορθώθηκε πρόσφατα στο Apache RocketMQ. Αυτό το exploit επιτρέπει στον Muhstik να κλέβει ευάλωτους διακομιστές, ενισχύοντας την εμβέλεια και τον αντίκτυπο του δικτύου του. Η Muhstik, μια μακροχρόνια απειλή, ειδικεύεται στη στόχευση συσκευών IoT (Internet-of-Things) και διακομιστών Linux. Είναι διαβόητο για την ικανότητά του να μολύνει συσκευές, να τις χρησιμοποιεί για εξόρυξη κρυπτονομισμάτων και να ενορχηστρώνει επιθέσεις DDoS.
Πίνακας περιεχομένων
Το Muhstik Botnet εκμεταλλεύεται ευπάθειες λογισμικού για να μολύνει συσκευές
Από την πρώτη τεκμηρίωσή τους το 2018, οι καμπάνιες επιθέσεων που βασίζονται σε κακόβουλο λογισμικό στοχεύουν σταθερά γνωστά τρωτά σημεία ασφαλείας, ιδιαίτερα εκείνα που βρίσκονται σε εφαρμογές Ιστού.
Το πιο πρόσφατο exploit που προέκυψε είναι το CVE-2023-33246, ένα κρίσιμο ελάττωμα που επηρεάζει το Apache RocketMQ. Αυτή η ευπάθεια επιτρέπει σε απομακρυσμένους εισβολείς χωρίς έλεγχο ταυτότητας να εκτελούν αυθαίρετο κώδικα χειραγωγώντας το περιεχόμενο του πρωτοκόλλου RocketMQ ή εκμεταλλευόμενοι τη δυνατότητα διαμόρφωσης ενημέρωσης.
Αφού εκμεταλλευτούν αυτήν την ευπάθεια για να αποκτήσουν αρχική πρόσβαση, οι φορείς απειλών εκτελούν ένα σενάριο φλοιού που φιλοξενείται σε μια απομακρυσμένη διεύθυνση IP. Αυτό το σενάριο είναι υπεύθυνο για την ανάκτηση του δυαδικού Muhstik ('pty3') από έναν ξεχωριστό διακομιστή.
Αποφυγή ανίχνευσης για την παράδοση του επιβλαβούς ωφέλιμου φορτίου του
Μόλις ο εισβολέας εκμεταλλευτεί την ευπάθεια RocketMQ για να ανεβάσει το επιβλαβές ωφέλιμο φορτίο του, αποκτά τη δυνατότητα να εκτελέσει τον επιβλαβή κώδικά του, οδηγώντας στη λήψη του κακόβουλου λογισμικού Muhstik.
Για να διατηρηθεί η επιμονή στον παραβιασμένο κεντρικό υπολογιστή, το δυαδικό λογισμικό κακόβουλου λογισμικού αντιγράφεται σε διάφορους καταλόγους και γίνονται τροποποιήσεις στο αρχείο /etc/inittab, υπεύθυνο για τη διαχείριση των διαδικασιών εκκίνησης διακομιστή Linux, διασφαλίζοντας ότι η μη ασφαλής διαδικασία επανεκκινείται αυτόματα.
Επιπλέον, το δυαδικό λογισμικό κακόβουλου λογισμικού ονομάζεται 'pty3' σε μια προσπάθεια να εμφανιστεί ως ψευδοτερματικό ('pty') και να αποφύγει τον εντοπισμό. Μια άλλη τακτική αποφυγής περιλαμβάνει την αντιγραφή του κακόβουλου λογισμικού σε καταλόγους όπως /dev/shm, /var/tmp, /run/lock και /run κατά τη διάρκεια της παραμονής, επιτρέποντας την άμεση εκτέλεση από τη μνήμη και αποτρέποντας ίχνη στο σύστημα.
Οι εισβολείς μπορούν να εκμεταλλευτούν τις μολυσμένες συσκευές με πολλούς τρόπους
Το Muhstik είναι εξοπλισμένο με δυνατότητες συλλογής μεταδεδομένων συστήματος, πλευρικής μετακίνησης μεταξύ συσκευών μέσω Secure Shell (SSH) και δημιουργίας επικοινωνίας με έναν τομέα Command-and-Control (C2) χρησιμοποιώντας το πρωτόκολλο Internet Relay Chat (IRC).
Ο απώτερος στόχος αυτού του κακόβουλου λογισμικού είναι να στρατολογήσει παραβιασμένες συσκευές σε διάφορες επιθέσεις flooding εναντίον συγκεκριμένων στόχων, κατακλύζοντας αποτελεσματικά τους πόρους του δικτύου τους και προκαλώντας διακοπές άρνησης υπηρεσίας.
Παρά περισσότερο από ένα χρόνο από τη δημόσια αποκάλυψη του ελαττώματος, εξακολουθούν να υπάρχουν 5.216 περιπτώσεις του Apache RocketMQ που εκτίθενται στο Διαδίκτυο. Είναι σημαντικό για τους οργανισμούς να ενημερώνονται στην πιο πρόσφατη έκδοση για τον μετριασμό πιθανών απειλών.
Επιπλέον, προηγούμενες καμπάνιες έχουν δείξει δραστηριότητα κρυπτονομίας που λαμβάνει χώρα μετά την εκτέλεση κακόβουλου λογισμικού Muhstik. Αυτές οι δραστηριότητες αλληλοσυμπληρώνονται καθώς οι επιτιθέμενοι επιδιώκουν να πολλαπλασιαστούν και να μολύνουν περισσότερες μηχανές, βοηθώντας στις προσπάθειές τους για εξόρυξη κρυπτονομισμάτων χρησιμοποιώντας την υπολογιστική ισχύ των παραβιασμένων συσκευών.
