Muhstik Malware
הבוטנט Muhstik, הידוע לשמצה בהתקפות ה-DDoS (Denial-of-Service) מבוזרות שלו, זוהה מנצל פגיעות שתוקנה לאחרונה ב- Apache RocketMQ. ניצול זה מאפשר ל-Muhstik לחטוף שרתים פגיעים, ולשפר את טווח ההגעה וההשפעה של הרשת שלה. Muhstik, איום ותיק, מתמחה במיקוד למכשירי IoT (Internet-of-Things) ושרתי לינוקס. זה ידוע לשמצה בשל מיומנותו בהדבקת מכשירים, שימוש בהם לכריית מטבעות קריפטוגרפיים ותזמור תקיפות DDoS.
תוכן העניינים
ה-Muhstik Botnet מנצל פגיעויות תוכנה כדי להדביק מכשירים
מאז התיעוד הראשון שלו ב-2018, קמפיינים של התקפה מונעי תוכנות זדוניות מכוונים באופן עקבי לפרצות אבטחה ידועות, במיוחד אלו שנמצאו ביישומי אינטרנט.
הניצול האחרון שהופיע הוא CVE-2023-33246, פגם קריטי המשפיע על Apache RocketMQ. פגיעות זו מאפשרת לתוקפים מרוחקים ולא מאומתים להפעיל קוד שרירותי על ידי מניפולציה של תוכן פרוטוקול RocketMQ או ניצול תכונת תצורת העדכון.
לאחר ניצול פגיעות זו כדי לקבל גישה ראשונית, גורמי איומים מבצעים סקריפט מעטפת המתארח בכתובת IP מרוחקת. סקריפט זה אחראי על שליפת הקובץ הבינארי של Muhstik ('pty3') משרת נפרד.
הימנעות מזיהוי כדי לספק את המטען המזיק שלו
ברגע שהתוקף מנצל את הפגיעות של RocketMQ כדי להעלות את המטען המזיק שלהם, הם מקבלים את היכולת לבצע את הקוד המזיק שלהם, מה שמוביל להורדה של תוכנת הזדונית Muhstik.
כדי לשמור על התמדה על המארח שנפרץ, הקובץ הבינארי של תוכנות זדוניות מועתק לספריות שונות, ונעשים שינויים בקובץ /etc/inittab, האחראי על ניהול תהליכי האתחול של שרת לינוקס, מה שמבטיח שהתהליך הלא בטוח יופעל מחדש באופן אוטומטי.
יתרה מכך, הבינארי התוכנה הזדונית נקראת 'pty3' בניסיון להופיע כפסאודוטרמינל ('pty') ולהתחמק מזיהוי. טקטיקת התחמקות נוספת כוללת העתקת התוכנה הזדונית לספריות כמו /dev/shm, /var/tmp, /run/lock ו-/run במהלך התמדה, מה שמאפשר ביצוע ישיר מהזיכרון ומניעת עקבות במערכת.
תוקפים עשויים לנצל את המכשירים הנגועים בדרכים רבות
Muhstik מצויד ביכולות לאסוף מטא נתונים של המערכת, לנוע לרוחב בין מכשירים באמצעות Secure Shell (SSH), וליצור תקשורת עם תחום Command-and-Control (C2) באמצעות פרוטוקול Internet Relay Chat (IRC).
המטרה הסופית של תוכנה זדונית זו היא לגייס מכשירים שנפגעו בהתקפות הצפות שונות נגד מטרות ספציפיות, להציף ביעילות את משאבי הרשת שלהם ולגרום לשיבושים במניעת שירות.
למרות יותר משנה מאז החשיפה הפומבית של הפגם, יש עדיין 5,216 מקרים של Apache RocketMQ שנחשפו באינטרנט. זה חיוני לארגונים לעדכן לגרסה העדכנית ביותר כדי להפחית איומים פוטנציאליים.
יתר על כן, מסעות פרסום קודמים הראו פעילות קריפטומין המתרחשת לאחר ביצוע תוכנות זדוניות של Muhstik. פעילויות אלו משלימות זו את זו כאשר תוקפים מבקשים להתרבות ולהדביק עוד מכונות, ומסייעות במאמציהם לכריית מטבעות קריפטוגרפיים על ידי ניצול כוח החישוב של מכשירים שנפגעו.
