Muhstik Malware
Az elosztott szolgáltatásmegtagadási (DDoS) támadásairól hírhedt Muhstik botnetet az Apache RocketMQ nemrégiben javított biztonsági rését kihasználva észlelték. Ez a kihasználás lehetővé teszi a Muhstik számára, hogy eltérítse a sebezhető szervereket, növelve ezzel hálózatának elérhetőségét és hatását. A Muhstik, a régóta fennálló fenyegetés, az IoT-eszközök és Linux-kiszolgálók megcélzására specializálódott. Hírhedt az eszközök megfertőzésében, kriptovaluta bányászatban való felhasználásában és a DDoS támadások lebonyolításában való jártasságáról.
Tartalomjegyzék
A Muhstik Botnet a szoftver sebezhetőségeit használja ki az eszközök megfertőzésére
A 2018-as első dokumentáció óta a rosszindulatú programok által vezérelt támadási kampányok következetesen az ismert biztonsági réseket célozzák meg, különösen a webalkalmazásokban találhatóakat.
A legfrissebb kizsákmányolás a CVE-2023-33246, amely egy kritikus hiba, amely hatással van az Apache RocketMQ-ra. Ez a biztonsági rés lehetővé teszi a távoli, hitelesítés nélküli támadók számára tetszőleges kód futtatását a RocketMQ protokoll tartalmának manipulálásával vagy a frissítés konfigurációs funkciójának kihasználásával.
Miután kihasználták ezt a biztonsági rést a kezdeti hozzáférés megszerzésére, a fenyegetés szereplői egy távoli IP-címen tárolt shell-szkriptet hajtanak végre. Ez a szkript felelős a Muhstik bináris ('pty3') letöltéséért egy külön szerverről.
Az észlelés elkerülése a káros rakomány szállítása érdekében
Amint a támadó kihasználja a RocketMQ sebezhetőségét a káros rakomány feltöltésére, képessé válik a káros kód végrehajtására, ami a Muhstik rosszindulatú program letöltéséhez vezet.
A feltört gazdagépen való állandóság megőrzése érdekében a rosszindulatú program bináris fájlját különböző könyvtárakba másolják, és módosítják a /etc/inittab fájlt, amely a Linux szerver rendszerindítási folyamatainak kezeléséért felelős, biztosítva a nem biztonságos folyamat automatikus újraindítását.
Ezen túlmenően a rosszindulatú program bináris fájlja „pty3” nevet kap, hogy pszeudoterminálként („pty”) jelenjen meg, és elkerülje az észlelést. Egy másik kijátszási taktika a rosszindulatú program másolása olyan könyvtárakba, mint a /dev/shm, /var/tmp, /run/lock és /run a fennmaradás során, lehetővé téve a közvetlen végrehajtást a memóriából, és megakadályozva a nyomkövetést a rendszeren.
A támadók számos módon kihasználhatják a fertőzött eszközöket
A Muhstik fel van szerelve a rendszer metaadatainak összegyűjtésére, a Secure Shell-en (SSH) keresztül történő oldalirányú mozgásra az eszközök között, és az Internet Relay Chat (IRC) protokoll használatával kommunikációt létesít egy Command-and-Control (C2) tartományban.
Ennek a rosszindulatú programnak a végső célja, hogy a feltört eszközöket különböző támadásokba vonja be meghatározott célpontok ellen, hatékonyan elárasztva hálózati erőforrásaikat, és szolgáltatásmegtagadási zavarokat okozva.
Annak ellenére, hogy több mint egy éve a hiba nyilvánosságra hozatala óta, még mindig 5216 Apache RocketMQ-példány található az interneten. A lehetséges fenyegetések mérséklése érdekében kulcsfontosságú, hogy a szervezetek frissítsenek a legújabb verzióra.
Ezenkívül a korábbi kampányok a Muhstik kártevő-végrehajtása utáni kriptográfiai tevékenységet mutattak be. Ezek a tevékenységek kiegészítik egymást, mivel a támadók több gépet akarnak elszaporítani és megfertőzni, segítve kriptovaluta bányászatukat a feltört eszközök számítási teljesítményének kihasználásával.
