Malware dannoso
La botnet Muhstik, nota per i suoi attacchi Denial-of-Service (DDoS) distribuiti, è stata avvistata mentre sfruttava una vulnerabilità recentemente corretta in Apache RocketMQ. Questo exploit consente a Muhstik di prendere il controllo dei server vulnerabili, migliorando la portata e l'impatto della sua rete. Muhstik, una minaccia di lunga data, è specializzato nel prendere di mira dispositivi IoT (Internet delle cose) e server Linux. È noto per la sua abilità nell'infettare i dispositivi, nell'utilizzarli per il mining di criptovalute e nell'orchestrare attacchi DDoS.
Sommario
La botnet Muhstik sfrutta le vulnerabilità del software per infettare i dispositivi
Sin dalla sua prima documentazione nel 2018, le campagne di attacco guidate da malware hanno costantemente preso di mira le vulnerabilità di sicurezza note, in particolare quelle riscontrate nelle applicazioni Web.
L'exploit più recente emerso è CVE-2023-33246, un difetto critico che colpisce Apache RocketMQ. Questa vulnerabilità consente agli aggressori remoti e non autenticati di eseguire codice arbitrario manipolando il contenuto del protocollo RocketMQ o sfruttando la funzionalità di configurazione dell'aggiornamento.
Dopo aver sfruttato questa vulnerabilità per ottenere l'accesso iniziale, gli autori delle minacce eseguono uno script di shell ospitato su un indirizzo IP remoto. Questo script è responsabile del recupero del binario Muhstik ('pty3') da un server separato.
Evitare il rilevamento per trasportare il suo carico utile dannoso
Una volta che l'aggressore sfrutta la vulnerabilità RocketMQ per caricare il proprio payload dannoso, ottiene la capacità di eseguire il proprio codice dannoso, portando al download del malware Muhstik.
Per mantenere la persistenza sull'host compromesso, il file binario del malware viene copiato in varie directory e vengono apportate modifiche al file /etc/inittab, responsabile della gestione dei processi di avvio del server Linux, garantendo il riavvio automatico del processo non sicuro.
Inoltre, il file binario del malware è denominato "pty3" nel tentativo di apparire come uno pseudoterminale ("pty") ed eludere il rilevamento. Un'altra tattica di evasione prevede la copia del malware in directory come /dev/shm, /var/tmp, /run/lock e /run durante la persistenza, consentendo l'esecuzione diretta dalla memoria e prevenendo tracce sul sistema.
Gli aggressori possono sfruttare i dispositivi infetti in numerosi modi
Muhstik è dotato di funzionalità per raccogliere metadati di sistema, spostarsi lateralmente tra i dispositivi tramite Secure Shell (SSH) e stabilire una comunicazione con un dominio Command-and-Control (C2) utilizzando il protocollo Internet Relay Chat (IRC).
Lo scopo finale di questo malware è quello di arruolare i dispositivi compromessi in vari attacchi di tipo Flooding contro obiettivi specifici, inondando di fatto le loro risorse di rete e causando interruzioni di tipo Denial-of-Service.
Nonostante sia passato più di un anno dalla divulgazione pubblica della falla, ci sono ancora 5.216 istanze di Apache RocketMQ esposte su Internet. È fondamentale che le organizzazioni si aggiornino alla versione più recente per mitigare potenziali minacce.
Inoltre, campagne precedenti hanno mostrato attività di cryptomining che si verificano dopo l’esecuzione del malware Muhstik. Queste attività si completano a vicenda poiché gli aggressori cercano di proliferare e infettare più macchine, aiutando le loro attività di mining di criptovaluta utilizzando la potenza di calcolo dei dispositivi compromessi.
