머스틱 악성코드

분산 서비스 거부(DDoS) 공격으로 악명 높은 Muhstik 봇넷이 최근 패치된 Apache RocketMQ의 취약점을 악용하는 것이 발견되었습니다. 이 악용을 통해 Muhstik은 취약한 서버를 하이재킹하여 네트워크의 도달 범위와 영향력을 강화할 수 있습니다. 오랫동안 위협적인 존재였던 Muhstik은 IoT(사물 인터넷) 장치와 Linux 서버를 표적으로 삼는 데 특화되어 있습니다. 장치 감염, 암호화폐 채굴에 활용, DDoS 공격 조율에 능숙한 것으로 악명 높습니다.

Muhstik 봇넷은 소프트웨어 취약점을 악용하여 장치를 감염시킵니다.

2018년 첫 번째 문서 이후 맬웨어 기반 공격 캠페인은 알려진 보안 취약점, 특히 웹 애플리케이션에서 발견된 취약점을 지속적으로 표적으로 삼았습니다.

가장 최근에 발견된 익스플로잇은 Apache RocketMQ에 영향을 미치는 심각한 결함인 CVE-2023-33246입니다. 이 취약점을 통해 인증되지 않은 원격 공격자가 RocketMQ 프로토콜 콘텐츠를 조작하거나 업데이트 구성 기능을 악용하여 임의 코드를 실행할 수 있습니다.

위협 행위자는 이 취약점을 악용하여 초기 액세스 권한을 얻은 후 원격 IP 주소에서 호스팅되는 셸 스크립트를 실행합니다. 이 스크립트는 별도의 서버에서 Muhstik 바이너리('pty3')를 가져오는 역할을 합니다.

유해한 페이로드를 전달하기 위한 탐지 방지

공격자가 RocketMQ 취약점을 악용하여 유해한 페이로드를 업로드하면 유해한 코드를 실행할 수 있게 되어 Muhstik 악성 코드가 다운로드됩니다.

손상된 호스트에서 지속성을 유지하기 위해 맬웨어 바이너리가 다양한 디렉터리에 복사되고 Linux 서버 부팅 프로세스를 관리하는 /etc/inittab 파일이 수정되어 안전하지 않은 프로세스가 자동으로 다시 시작됩니다.

더욱이, 악성코드 바이너리는 의사 터미널('pty')로 나타나 탐지를 회피하기 위해 'pty3'이라는 이름을 붙였습니다. 또 다른 회피 전략은 지속성 동안 악성 코드를 /dev/shm, /var/tmp, /run/lock 및 /run과 같은 디렉터리에 복사하여 메모리에서 직접 실행을 가능하게 하고 시스템에서 추적을 방지하는 것입니다.

공격자는 다양한 방법으로 감염된 장치를 악용할 수 있습니다.

Muhstik에는 시스템 메타데이터를 수집하고, SSH(Secure Shell)를 통해 장치 간에 측면 이동하고, IRC(Internet Relay Chat) 프로토콜을 사용하여 C2(Command-and-Control) 도메인과 통신을 설정하는 기능이 탑재되어 있습니다.

이 악성코드의 궁극적인 목적은 손상된 장치를 특정 대상에 대한 다양한 플러딩 공격에 참여시켜 네트워크 리소스를 효과적으로 침수시키고 서비스 거부를 중단시키는 것입니다.

결함이 공개된 지 1년이 넘었음에도 불구하고 여전히 5,216개의 Apache RocketMQ 인스턴스가 인터넷에 노출되어 있습니다. 잠재적인 위협을 완화하려면 조직에서 최신 버전으로 업데이트하는 것이 중요합니다.

또한 이전 캠페인에서는 Muhstik 악성 코드 실행 이후에 암호화폐 채굴 활동이 발생하는 것으로 나타났습니다. 이러한 활동은 공격자가 더 많은 시스템을 확산시키고 감염시키려고 함으로써 서로를 보완하며 손상된 장치의 컴퓨팅 성능을 활용하여 암호화폐 채굴 노력을 돕습니다.