Muhstik Malware
Muhstik botnet, ozloglašen po svojim distribuiranim Denial-of-Service (DDoS) napadima, uočen je kako iskorištava nedavno zakrpanu ranjivost u Apache RocketMQ. Ovaj exploit omogućuje Muhstiku da otme ranjive poslužitelje, povećavajući doseg i utjecaj svoje mreže. Muhstik, dugogodišnja prijetnja, specijalizirao se za ciljanje IoT (Internet-of-Things) uređaja i Linux poslužitelja. Ozloglašen je po svojoj stručnosti u inficiranju uređaja, njihovom korištenju za rudarenje kriptovalute i orkestriranju DDoS napada.
Sadržaj
Muhstik Botnet iskorištava ranjivosti softvera za zarazu uređaja
Od svoje prve dokumentacije 2018., kampanje napada vođene zlonamjernim softverom dosljedno su ciljale poznate sigurnosne propuste, osobito one pronađene u web aplikacijama.
Najnoviji exploit koji se pojavio je CVE-2023-33246, kritična greška koja utječe na Apache RocketMQ. Ova ranjivost omogućuje udaljenim, neautentificiranim napadačima da izvrše proizvoljan kod manipulirajući sadržajem protokola RocketMQ ili iskorištavajući značajku ažuriranja konfiguracije.
Nakon iskorištavanja ove ranjivosti za dobivanje početnog pristupa, akteri prijetnje izvršavaju skriptu ljuske smještenu na udaljenoj IP adresi. Ova skripta je odgovorna za dohvaćanje Muhstik binarne ('pty3') s zasebnog poslužitelja.
Izbjegavanje otkrivanja radi isporučivanja njegovog štetnog tereta
Nakon što napadač iskoristi ranjivost RocketMQ za učitavanje svog štetnog sadržaja, stječe mogućnost izvršavanja svog štetnog koda, što dovodi do preuzimanja zlonamjernog softvera Muhstik.
Kako bi se održala postojanost na kompromitiranom hostu, binarni zlonamjerni softver se kopira u različite direktorije, a modificira se datoteka /etc/inittab, odgovorna za upravljanje procesima pokretanja Linux poslužitelja, osiguravajući automatsko ponovno pokretanje nesigurnog procesa.
Štoviše, binarni zlonamjerni softver nazvan je 'pty3' u pokušaju da se pojavi kao pseudoterminal ('pty') i izbjegne otkrivanje. Još jedna taktika izbjegavanja uključuje kopiranje zlonamjernog softvera u direktorije kao što su /dev/shm, /var/tmp, /run/lock i /run tijekom postojanosti, omogućavajući izravno izvršavanje iz memorije i sprječavajući tragove na sustavu.
Napadači mogu iskoristiti zaražene uređaje na brojne načine
Muhstik je opremljen mogućnostima prikupljanja metapodataka o sustavu, bočnog pomicanja između uređaja putem Secure Shell (SSH) i uspostavljanja komunikacije s Command-and-Control (C2) domenom koristeći Internet Relay Chat (IRC) protokol.
Konačni cilj ovog zlonamjernog softvera je uključiti kompromitirane uređaje u različite napade floodinga na određene ciljeve, učinkovito preplavljujući njihove mrežne resurse i uzrokujući prekide uskraćivanja usluge.
Unatoč više od godinu dana od javnog otkrivanja greške, još uvijek postoji 5216 primjeraka Apache RocketMQ izloženih na internetu. Za organizacije je ključno da ažuriraju na najnoviju verziju kako bi ublažile potencijalne prijetnje.
Nadalje, prethodne kampanje su pokazale da se aktivnost kripto rudarenja odvija nakon Muhstikovog izvršavanja zlonamjernog softvera. Ove se aktivnosti međusobno nadopunjuju dok napadači pokušavaju proširiti i zaraziti više strojeva, pomažući u njihovim nastojanjima rudarenja kriptovaluta korištenjem računalne snage kompromitiranih uređaja.
