Muhstik Malware

Muhstik botnet ដែលមានកេរ្តិ៍ឈ្មោះសម្រាប់ការវាយប្រហារ Denial-of-Service (DDoS) ដែលត្រូវបានចែកចាយរបស់ខ្លួន ត្រូវបានគេប្រទះឃើញកំពុងកេងប្រវ័ញ្ចលើភាពងាយរងគ្រោះដែលបានជួសជុលថ្មីៗនេះនៅក្នុង Apache RocketMQ ។ ការកេងប្រវ័ញ្ចនេះអនុញ្ញាតឱ្យ Muhstik ប្លន់ម៉ាស៊ីនមេដែលងាយរងគ្រោះ ដោយបង្កើនលទ្ធភាព និងផលប៉ះពាល់នៃបណ្តាញរបស់វា។ Muhstik ដែលជាការគំរាមកំហែងយូរអង្វែង មានជំនាញក្នុងការកំណត់គោលដៅឧបករណ៍ IoT (Internet-of-Things) និងម៉ាស៊ីនមេលីនុច។ វាជារឿងដ៏អាក្រក់សម្រាប់សមត្ថភាពរបស់វាក្នុងការឆ្លងឧបករណ៍ ការប្រើប្រាស់ពួកវាសម្រាប់ការជីកយករ៉ែ cryptocurrency និងរៀបចំការវាយប្រហារដោយ DDoS ។

Muhstik Botnet កេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៃកម្មវិធីដើម្បីឆ្លងឧបករណ៍

ចាប់តាំងពីឯកសារដំបូងរបស់ខ្លួននៅក្នុងឆ្នាំ 2018 យុទ្ធនាការវាយប្រហារដោយមេរោគបានកំណត់គោលដៅជាប់លាប់ចំពោះភាពងាយរងគ្រោះសុវត្ថិភាពដែលគេស្គាល់ ជាពិសេសអ្នកដែលរកឃើញនៅក្នុងកម្មវិធីគេហទំព័រ។

ការកេងប្រវ័ញ្ចថ្មីបំផុតដែលនឹងលេចឡើងគឺ CVE-2023-33246 ដែលជាគុណវិបត្តិដ៏សំខាន់ដែលប៉ះពាល់ដល់ Apache RocketMQ ។ ភាពងាយរងគ្រោះនេះអនុញ្ញាតឲ្យអ្នកវាយប្រហារពីចម្ងាយ ដែលមិនមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអាចប្រតិបត្តិកូដតាមអំពើចិត្ត ដោយរៀបចំខ្លឹមសារពិធីការ RocketMQ ឬទាញយកមុខងារកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្នភាព។

បន្ទាប់ពីទាញយកភាពងាយរងគ្រោះនេះ ដើម្បីទទួលបានការចូលប្រើដំបូង តួអង្គគំរាមកំហែងនឹងដំណើរការស្គ្រីបសែលដែលបង្ហោះនៅលើអាសយដ្ឋាន IP ពីចម្ងាយ។ ស្គ្រីបនេះទទួលខុសត្រូវក្នុងការទៅយក Muhstik binary ('pty3') ពីម៉ាស៊ីនមេដាច់ដោយឡែកមួយ។

ជៀសវាងការរកឃើញដើម្បីបញ្ជូនបន្ទុកដែលបង្កគ្រោះថ្នាក់របស់វា។

នៅពេលដែលអ្នកវាយប្រហារទាញយកភាពងាយរងគ្រោះរបស់ RocketMQ ដើម្បីផ្ទុកបន្ទុកគ្រោះថ្នាក់របស់ពួកគេ ពួកគេទទួលបានសមត្ថភាពក្នុងការប្រតិបត្តិកូដគ្រោះថ្នាក់របស់ពួកគេ ដែលនាំទៅដល់ការទាញយកមេរោគ Muhstik ។

ដើម្បីរក្សាភាពស្ថិតស្ថេរនៅលើម៉ាស៊ីនដែលត្រូវបានសម្របសម្រួល ប្រព័ន្ធគោលពីរនៃមេរោគត្រូវបានចម្លងទៅថតផ្សេងៗ ហើយការកែប្រែត្រូវបានធ្វើឡើងចំពោះឯកសារ /etc/inittab ដែលទទួលខុសត្រូវក្នុងការគ្រប់គ្រងដំណើរការចាប់ផ្ដើមម៉ាស៊ីនមេលីនុច ធានាថាដំណើរការមិនមានសុវត្ថិភាពចាប់ផ្តើមឡើងវិញដោយស្វ័យប្រវត្តិ។

លើសពីនេះទៅទៀត malware binary ត្រូវបានដាក់ឈ្មោះថា 'pty3' ក្នុងការប៉ុនប៉ងដើម្បីបង្ហាញជា pseudoterminal ('pty') និងគេចពីការរកឃើញ។ យុទ្ធសាស្ត្រគេចវេសមួយផ្សេងទៀតពាក់ព័ន្ធនឹងការចម្លងមេរោគទៅថតដូចជា /dev/shm, /var/tmp, /run/lock, និង/run កំឡុងពេលបន្តដំណើរការ ដែលអនុញ្ញាតឱ្យប្រតិបត្តិដោយផ្ទាល់ពីអង្គចងចាំ និងការពារដាននៅលើប្រព័ន្ធ។

អ្នកវាយប្រហារអាចកេងប្រវ័ញ្ចឧបករណ៍ឆ្លងតាមវិធីជាច្រើន។

Muhstik ត្រូវបានបំពាក់ដោយសមត្ថភាពក្នុងការប្រមូលទិន្នន័យមេតារបស់ប្រព័ន្ធ ផ្លាស់ទីនៅពេលក្រោយឆ្លងកាត់ឧបករណ៍តាមរយៈ Secure Shell (SSH) និងបង្កើតទំនាក់ទំនងជាមួយដែន Command-and-Control (C2) ដោយប្រើពិធីការ Internet Relay Chat (IRC) ។

គោលបំណងចុងក្រោយនៃមេរោគនេះគឺដើម្បីបញ្ចូលឧបករណ៍ដែលត្រូវបានសម្របសម្រួលនៅក្នុងការវាយប្រហារដោយទឹកជំនន់ផ្សេងៗប្រឆាំងនឹងគោលដៅជាក់លាក់ ធ្វើឱ្យធនធានបណ្តាញរបស់ពួកគេហូរចូលយ៉ាងមានប្រសិទ្ធភាព និងបង្កឱ្យមានការរំខានដល់ការបដិសេធសេវាកម្ម។

ទោះបីជាមានរយៈពេលជាងមួយឆ្នាំចាប់តាំងពីការលាតត្រដាងជាសាធារណៈអំពីគុណវិបត្តិក៏ដោយ ក៏នៅតែមានករណីចំនួន 5,216 នៃកម្មវិធី Apache RocketMQ ត្រូវបានបង្ហាញនៅលើអ៊ីនធឺណិត។ វាមានសារៈសំខាន់ណាស់សម្រាប់អង្គការដើម្បីធ្វើបច្ចុប្បន្នភាពទៅកំណែចុងក្រោយបំផុត ដើម្បីកាត់បន្ថយការគំរាមកំហែងដែលអាចកើតមាន។

លើសពីនេះ យុទ្ធនាការមុនៗបានបង្ហាញសកម្មភាព cryptomining ដែលកើតឡើងក្រោយការប្រតិបត្តិមេរោគ Muhstik ។ សកម្មភាពទាំងនេះបំពេញបន្ថែមគ្នាទៅវិញទៅមក នៅពេលដែលអ្នកវាយប្រហារស្វែងរកការរីកសាយ និងឆ្លងម៉ាស៊ីនកាន់តែច្រើន ដោយជួយដល់ការព្យាយាមរុករករូបិយប័ណ្ណគ្រីបតូរបស់ពួកគេ ដោយប្រើប្រាស់ថាមពលគណនានៃឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។