Muhstik Pahavara
Muhstiku botnet, mis on kurikuulus oma hajutatud teenuse keelamise (DDoS) rünnakute poolest, on märganud, et see kasutab ära Apache RocketMQ hiljuti parandatud haavatavust. See ärakasutamine võimaldab Muhstikul kaaperdada haavatavaid servereid, suurendades selle võrgu ulatust ja mõju. Muhstik, kauaaegne oht, on spetsialiseerunud asjade Interneti (asjade Interneti) seadmete ja Linuxi serverite sihtimisele. See on kurikuulus oma oskuste poolest nakatada seadmeid, kasutada neid krüptoraha kaevandamiseks ja korraldada DDoS-i rünnakuid.
Sisukord
Muhstiku robotvõrk kasutab seadmete nakatamiseks ära tarkvara haavatavusi
Alates selle esmakordsest dokumenteerimisest 2018. aastal on pahavarapõhised rünnakukampaaniad järjekindlalt sihikule võtnud teadaolevaid turvaauke, eriti neid, mida leidub veebirakendustes.
Uusim esile kerkinud äpardus on CVE-2023-33246, kriitiline viga, mis mõjutab Apache RocketMQ-d. See haavatavus võimaldab kaug-autentimata ründajatel käivitada suvalist koodi, manipuleerides RocketMQ protokolli sisu või kasutades värskenduse konfiguratsioonifunktsiooni.
Pärast haavatavuse ärakasutamist esialgse juurdepääsu saamiseks käivitavad ohutegijad kaug-IP-aadressil hostitud kestaskripti. See skript vastutab Muhstiku binaarfaili ('pty3') toomise eest eraldi serverist.
Kahjuliku kasuliku koorma kohaletoimetamiseks vältige tuvastamist
Kui ründaja kasutab RocketMQ haavatavust oma kahjuliku kasuliku koormuse üleslaadimiseks, saavad nad võimaluse käitada oma kahjulikku koodi, mis viib Muhstiku pahavara allalaadimiseni.
Ohustatud hosti püsivuse säilitamiseks kopeeritakse pahavara binaarfail erinevatesse kataloogidesse ja faili /etc/inittab, mis vastutab Linuxi serveri alglaadimisprotsesside haldamise eest, tehakse muudatusi, tagades ebaturvalise protsessi automaatse taaskäivitamise.
Veelgi enam, pahavara binaar kannab nime "pty3", et püüda esineda pseudoterminalina ("pty") ja vältida tuvastamist. Teine kõrvalehoidmistaktika hõlmab ründevara kopeerimist kataloogidesse, nagu /dev/shm, /var/tmp, /run/lock ja /run püsivuse ajal, võimaldades otsekäivitust mälust ja takistades süsteemis jälgi.
Ründajad võivad nakatunud seadmeid ära kasutada mitmel viisil
Muhstik on varustatud võimalustega koguda süsteemi metaandmeid, liikuda külgsuunas üle seadmete Secure Shelli (SSH) kaudu ja luua side Command-and-Control (C2) domeeniga, kasutades Internet Relay Chat (IRC) protokolli.
Selle pahavara lõppeesmärk on kaasata ohustatud seadmed erinevatele üleujutusrünnakutele konkreetsete sihtmärkide vastu, ujutades tõhusalt nende võrguressursse ja põhjustades teenuse keelamise häireid.
Vaatamata enam kui aasta möödumisele vea avalikustamisest, on Internetis endiselt paljastatud 5216 Apache RocketMQ juhtumit. Võimalike ohtude leevendamiseks on organisatsioonide jaoks ülioluline värskendada uusimale versioonile.
Lisaks on varasemad kampaaniad näidanud krüptomist, mis on toimunud pärast Muhstiki pahavara käivitamist. Need tegevused täiendavad üksteist, kuna ründajad püüavad levida ja nakatada rohkem masinaid, aidates kaasa nende krüptoraha kaevandamisele, kasutades ära ohustatud seadmete arvutusvõimsust.
