Muhstik Haittaohjelma
Hajautetuista palvelunestohyökkäyksistään (DDoS) tunnettu Muhstik-botnet on havaittu hyödyntävän äskettäin korjattua Apache RocketMQ:n haavoittuvuutta. Tämän hyväksikäytön avulla Muhstik voi kaapata haavoittuvia palvelimia, mikä parantaa verkon kattavuutta ja vaikutusta. Muhstik, pitkäaikainen uhka, on erikoistunut IoT (Internet-of-Things) -laitteiden ja Linux-palvelimien kohdistamiseen. Se on surullisen kuuluisa osaamisestaan laitteiden tartuttamisessa, niiden hyödyntämisessä kryptovaluuttojen louhinnassa ja DDoS-hyökkäysten järjestämisessä.
Sisällysluettelo
Muhstik Botnet hyödyntää ohjelmiston haavoittuvuuksia laitteiden saastuttamiseen
Ensimmäisestä dokumentaatiostaan vuonna 2018 lähtien haittaohjelmiin perustuvat hyökkäyskampanjat ovat johdonmukaisesti kohdistaneet tunnettuihin tietoturvahaavoittuvuuksiin, erityisesti verkkosovelluksista löytyviin haavoittuvuuksiin.
Viimeisin esiin tullut hyväksikäyttö on CVE-2023-33246, kriittinen virhe, joka vaikuttaa Apache RocketMQ:han. Tämän haavoittuvuuden ansiosta todentamattomat etähyökkääjät voivat suorittaa mielivaltaista koodia manipuloimalla RocketMQ-protokollan sisältöä tai hyödyntämällä päivityksen kokoonpanoominaisuutta.
Hyödynnettyään tätä haavoittuvuutta saadakseen ensimmäisen käyttöoikeuden uhkatoimijat suorittavat komentotulkkikomentosarjan, joka on isännöity IP-etäosoitteessa. Tämä komentosarja vastaa Muhstik-binaarin ('pty3') hakemisesta erilliseltä palvelimelta.
Vältä havaitsemista kuljettaaksesi sen haitallisen hyötykuorman
Kun hyökkääjä käyttää RocketMQ-haavoittuvuutta vahingollisen hyötykuorman lataamiseen, he saavat mahdollisuuden suorittaa haitallista koodiaan, mikä johtaa Muhstik-haittaohjelman lataamiseen.
Vaarallisen isännän pysyvyyden ylläpitämiseksi haittaohjelmabinaari kopioidaan useisiin hakemistoihin ja /etc/inittab-tiedostoon, joka vastaa Linux-palvelimen käynnistysprosessien hallinnasta, tehdään muutoksia, mikä varmistaa, että vaarallinen prosessi käynnistyy uudelleen automaattisesti.
Lisäksi haittaohjelman binaari on nimetty "pty3" yrittääkseen esiintyä pseudoterminaalina ("pty") ja välttää havaitsemisen. Toinen kiertotaktiikka sisältää haittaohjelman kopioimisen hakemistoihin, kuten /dev/shm, /var/tmp, /run/lock ja /run pysymisen aikana, mikä mahdollistaa suoran suorituksen muistista ja estää jälkiä järjestelmään.
Hyökkääjät voivat hyödyntää tartunnan saaneita laitteita useilla tavoilla
Muhstik on varustettu kyvyillä kerätä järjestelmän metatietoja, siirtyä sivusuunnassa laitteiden välillä Secure Shellin (SSH) kautta ja muodostaa kommunikaatiota Command-and-Control (C2) -toimialueen kanssa Internet Relay Chat (IRC) -protokollan avulla.
Tämän haittaohjelman perimmäisenä tavoitteena on saada vaarantuneet laitteet erilaisiin tulvahyökkäyksiin tiettyjä kohteita vastaan, tulvimalla tehokkaasti niiden verkkoresurssit ja aiheuttaen palvelunestohäiriöitä.
Huolimatta yli vuosi vian julkistamisesta, Internetissä on edelleen paljastettu 5 216 Apache RocketMQ -tapausta. Organisaatioiden on erittäin tärkeää päivittää uusimpaan versioon mahdollisten uhkien vähentämiseksi.
Lisäksi aiemmat kampanjat ovat osoittaneet kryptominointia Muhstikin haittaohjelmien suorittamisen jälkeen. Nämä toiminnot täydentävät toisiaan, kun hyökkääjät pyrkivät leviämään ja saastuttamaan useampia koneita auttamaan heidän kryptovaluutan louhintapyrkimyksiään hyödyntämällä vaarantuneiden laitteiden laskentatehoa.
