بدافزار Muhstik

بات نت Muhstik که به خاطر حملات انکار سرویس (DDoS) توزیع شده اش بدنام است، در حال سوء استفاده از یک آسیب پذیری اخیراً اصلاح شده در Apache RocketMQ مشاهده شده است. این اکسپلویت به Muhstik اجازه می دهد تا سرورهای آسیب پذیر را ربوده و دسترسی و تأثیرگذاری شبکه خود را افزایش دهد. Muhstik، یک تهدید طولانی مدت، متخصص در هدف قرار دادن دستگاه های IoT (اینترنت اشیا) و سرورهای لینوکس است. به دلیل مهارتش در آلوده کردن دستگاه ها، استفاده از آنها برای استخراج ارزهای دیجیتال و سازماندهی حملات DDoS بدنام است.

بات نت Muhstik از آسیب پذیری های نرم افزاری برای آلوده کردن دستگاه ها سوء استفاده می کند

از زمان اولین مستندسازی آن در سال 2018، کمپین‌های حمله بدافزار به طور مداوم آسیب‌پذیری‌های امنیتی شناخته‌شده، به‌ویژه آسیب‌پذیری‌های موجود در برنامه‌های کاربردی وب را هدف قرار داده‌اند.

جدیدترین اکسپلویتی که ظاهر شده، CVE-2023-33246 است، یک نقص حیاتی که Apache RocketMQ را تحت تاثیر قرار می دهد. این آسیب پذیری به مهاجمان راه دور و احراز هویت نشده این امکان را می دهد تا با دستکاری محتوای پروتکل RocketMQ یا سوء استفاده از ویژگی پیکربندی به روز رسانی، کد دلخواه را اجرا کنند.

پس از بهره‌برداری از این آسیب‌پذیری برای دستیابی به دسترسی اولیه، عوامل تهدید یک اسکریپت پوسته را که روی یک آدرس IP راه دور میزبانی شده است اجرا می‌کنند. این اسکریپت مسئول واکشی باینری Muhstik ('pty3') از یک سرور جداگانه است.

اجتناب از تشخیص برای تحویل بار مضر آن

هنگامی که مهاجم از آسیب‌پذیری RocketMQ برای آپلود بار مضر خود سوء استفاده می‌کند، توانایی اجرای کد مضر خود را به دست می‌آورد که منجر به دانلود بدافزار Muhstik می‌شود.

برای حفظ پایداری میزبان در معرض خطر، باینری بدافزار در دایرکتوری‌های مختلف کپی می‌شود و تغییراتی در فایل /etc/inittab که مسئول مدیریت فرآیندهای بوت سرور لینوکس است، انجام می‌شود و اطمینان حاصل می‌شود که فرآیند ناامن به طور خودکار راه‌اندازی مجدد می‌شود.

علاوه بر این، باینری بدافزار در تلاشی برای نمایش شبه پایانه ("pty") و فرار از تشخیص، 'pty3' نامگذاری شده است. یکی دیگر از تاکتیک‌های فرار شامل کپی کردن بدافزار در دایرکتوری‌هایی مانند /dev/shm، /var/tmp، /run/lock، و /run در حین ماندگاری است که امکان اجرای مستقیم از حافظه و جلوگیری از ردیابی روی سیستم را فراهم می‌کند.

مهاجمان ممکن است از دستگاه های آلوده به روش های متعددی سوء استفاده کنند

Muhstik به قابلیت‌هایی برای جمع‌آوری ابرداده‌های سیستم، حرکت جانبی بین دستگاه‌ها از طریق Secure Shell (SSH) و برقراری ارتباط با دامنه Command-and-Control (C2) با استفاده از پروتکل Internet Relay Chat (IRC) مجهز است.

هدف نهایی این بدافزار این است که دستگاه‌های آسیب‌دیده را در حملات سیل‌آیی مختلف علیه اهداف خاص به کار گیرد که به طور موثر منابع شبکه آنها را غرق کرده و باعث اختلال در انکار سرویس می‌شود.

با وجود گذشت بیش از یک سال از افشای عمومی این نقص، هنوز 5216 مورد از Apache RocketMQ در اینترنت در معرض دید قرار گرفته است. برای سازمان ها بسیار مهم است که به آخرین نسخه به روز رسانی کنند تا تهدیدات احتمالی را کاهش دهند.

علاوه بر این، کمپین‌های قبلی فعالیت‌های رمزنگاری را نشان داده‌اند که پس از اجرای بدافزار Muhstik انجام می‌شود. این فعالیت‌ها مکمل یکدیگر هستند زیرا مهاجمان به دنبال تکثیر و آلوده کردن ماشین‌های بیشتری هستند و با استفاده از قدرت محاسباتی دستگاه‌های در معرض خطر به تلاش‌های استخراج ارزهای دیجیتال کمک می‌کنند.