मुहस्टिक मैलवेयर

मुहस्टिक बॉटनेट, जो अपने वितरित डेनियल-ऑफ-सर्विस (DDoS) हमलों के लिए कुख्यात है, को अपाचे रॉकेटएमक्यू में हाल ही में पैच की गई भेद्यता का फायदा उठाते हुए देखा गया है। यह शोषण मुहस्टिक को कमजोर सर्वरों को हाईजैक करने की अनुमति देता है, जिससे इसके नेटवर्क की पहुंच और प्रभाव बढ़ जाता है। मुहस्टिक, एक लंबे समय से चली आ रही समस्या है, जो IoT (इंटरनेट-ऑफ-थिंग्स) डिवाइस और लिनक्स सर्वर को लक्षित करने में माहिर है। यह डिवाइसों को संक्रमित करने, उन्हें क्रिप्टोकरेंसी माइनिंग के लिए उपयोग करने और DDoS हमलों को अंजाम देने में अपनी दक्षता के लिए कुख्यात है।

मुहस्टिक बॉटनेट डिवाइसों को संक्रमित करने के लिए सॉफ्टवेयर कमजोरियों का फायदा उठाता है

2018 में इसके प्रथम दस्तावेजीकरण के बाद से, मैलवेयर-चालित हमले अभियानों ने लगातार ज्ञात सुरक्षा कमजोरियों को निशाना बनाया है, विशेष रूप से वेब अनुप्रयोगों में पाई जाने वाली कमजोरियों को।

सबसे हाल ही में सामने आया शोषण CVE-2023-33246 है, जो Apache RocketMQ को प्रभावित करने वाली एक गंभीर खामी है। यह भेद्यता दूरस्थ, अप्रमाणित हमलावरों को RocketMQ प्रोटोकॉल सामग्री में हेरफेर करके या अपडेट कॉन्फ़िगरेशन सुविधा का फायदा उठाकर मनमाना कोड निष्पादित करने में सक्षम बनाती है।

प्रारंभिक पहुँच प्राप्त करने के लिए इस भेद्यता का फायदा उठाने के बाद, खतरा पैदा करने वाले अभिनेता एक दूरस्थ IP पते पर होस्ट की गई शेल स्क्रिप्ट निष्पादित करते हैं। यह स्क्रिप्ट एक अलग सर्वर से Muhstik बाइनरी ('pty3') लाने के लिए जिम्मेदार है।

अपने हानिकारक पेलोड को पहुंचाने के लिए पता लगाने से बचना

एक बार जब हमलावर अपने हानिकारक पेलोड को अपलोड करने के लिए RocketMQ भेद्यता का फायदा उठाता है, तो वह अपने हानिकारक कोड को निष्पादित करने की क्षमता प्राप्त कर लेता है, जिसके परिणामस्वरूप Muhstik मैलवेयर डाउनलोड हो जाता है।

संक्रमित होस्ट पर स्थिरता बनाए रखने के लिए, मैलवेयर बाइनरी को विभिन्न निर्देशिकाओं में कॉपी किया जाता है, तथा /etc/inittab फ़ाइल में संशोधन किया जाता है, जो Linux सर्वर बूट प्रक्रियाओं के प्रबंधन के लिए जिम्मेदार है, तथा यह सुनिश्चित करता है कि असुरक्षित प्रक्रिया स्वचालित रूप से पुनः आरंभ हो जाए।

इसके अलावा, मैलवेयर बाइनरी को 'pty3' नाम दिया गया है ताकि यह छद्म टर्मिनल ('pty') के रूप में दिखाई दे और पहचान से बच सके। एक अन्य बचाव रणनीति में मैलवेयर को /dev/shm, /var/tmp, /run/lock, और /run जैसी निर्देशिकाओं में कॉपी करना शामिल है, जो मेमोरी से सीधे निष्पादन को सक्षम बनाता है और सिस्टम पर निशानों को रोकता है।

हमलावर संक्रमित डिवाइस का कई तरीकों से फायदा उठा सकते हैं

मुहस्टिक में सिस्टम मेटाडेटा एकत्र करने, सिक्योर शेल (एसएसएच) के माध्यम से उपकरणों के बीच स्थानांतरित करने, तथा इंटरनेट रिले चैट (आईआरसी) प्रोटोकॉल का उपयोग करके कमांड-एंड-कंट्रोल (सी2) डोमेन के साथ संचार स्थापित करने की क्षमताएं मौजूद हैं।

इस मैलवेयर का अंतिम उद्देश्य विशिष्ट लक्ष्यों के विरुद्ध विभिन्न फ्लडिंग हमलों में प्रभावित डिवाइसों को शामिल करना है, जिससे उनके नेटवर्क संसाधनों पर प्रभावी रूप से अतिक्रमण हो जाए और सेवा में व्यवधान उत्पन्न हो।

इस खामी के सार्वजनिक प्रकटीकरण के एक साल से अधिक समय बीत जाने के बावजूद, अपाचे रॉकेटएमक्यू के 5,216 उदाहरण अभी भी इंटरनेट पर उजागर हैं। संभावित खतरों को कम करने के लिए संगठनों के लिए नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है।

इसके अलावा, पिछले अभियानों ने मुहस्टिक मैलवेयर निष्पादन के बाद क्रिप्टोमाइनिंग गतिविधि को दिखाया है। ये गतिविधियाँ एक-दूसरे की पूरक हैं क्योंकि हमलावर अधिक मशीनों को फैलाने और संक्रमित करने की कोशिश करते हैं, समझौता किए गए उपकरणों की कम्प्यूटेशनल शक्ति का उपयोग करके उनके क्रिप्टोकरेंसी माइनिंग प्रयासों में सहायता करते हैं।