Muhstik kenkėjiška programa
„Muhstik“ botnetas, pagarsėjęs paskirstytomis paslaugų atsisakymo (DDoS) atakomis, buvo pastebėtas išnaudojantis neseniai pataisytą „Apache RocketMQ“ pažeidžiamumą. Šis išnaudojimas leidžia Muhstik užgrobti pažeidžiamus serverius, padidindamas tinklo pasiekiamumą ir poveikį. „Muhstik“, ilgalaikė grėsmė, specializuojasi taikydamas daiktų interneto (daiktų interneto) įrenginius ir „Linux“ serverius. Jis liūdnai pagarsėjęs dėl savo įgūdžių užkrėsti įrenginius, naudojant juos kriptovaliutų kasimui ir organizuoti DDoS atakas.
Turinys
„Muhstik Botnet“ išnaudoja programinės įrangos spragas, kad užkrėstų įrenginius
Nuo pat pirmosios dokumentacijos 2018 m., kenkėjiškų programų pagrįstos atakų kampanijos buvo nuolat nukreiptos į žinomas saugos spragas, ypač tas, kurios aptinkamos žiniatinklio programose.
Naujausias išnaudojimas yra CVE-2023-33246, kritinis trūkumas, turintis įtakos Apache RocketMQ. Dėl šio pažeidžiamumo nuotoliniai, neautentifikuoti užpuolikai gali vykdyti savavališką kodą manipuliuojant RocketMQ protokolo turiniu arba išnaudojant naujinimo konfigūracijos funkciją.
Išnaudoję šį pažeidžiamumą, kad gautų pradinę prieigą, grėsmės veikėjai vykdo apvalkalo scenarijų, priglobtą nuotoliniame IP adresu. Šis scenarijus yra atsakingas už Muhstik dvejetainio („pty3“) gavimą iš atskiro serverio.
Aptikimo vengimas, kad būtų pristatytas žalingas krovinys
Kai užpuolikas išnaudoja RocketMQ pažeidžiamumą, kad įkeltų savo žalingą naudingą apkrovą, jis įgyja galimybę vykdyti savo žalingą kodą, todėl atsisiunčiama Muhstik kenkėjiška programa.
Siekiant išlaikyti pažeisto pagrindinio kompiuterio atkaklumą, kenkėjiškų programų dvejetainis failas nukopijuojamas į įvairius katalogus, o failo /etc/inittab, atsakingo už Linux serverio įkrovos procesų valdymą, modifikacijos, užtikrinant, kad nesaugus procesas būtų automatiškai paleistas iš naujo.
Be to, kenkėjiškų programų dvejetainis failas pavadintas „pty3“, bandant pasirodyti kaip pseudoterminalas („pty“) ir išvengti aptikimo. Kita vengimo taktika apima kenkėjiškų programų kopijavimą į katalogus, pvz., /dev/shm, /var/tmp, /run/lock ir /run, kai išlieka atkaklumas, taip įgalinant tiesioginį vykdymą iš atminties ir užkertant kelią pėdsakams sistemoje.
Užpuolikai gali išnaudoti užkrėstus įrenginius įvairiais būdais
„Muhstik“ turi galimybę rinkti sistemos metaduomenis, perkelti į šonus įrenginius per saugų apvalkalą (SSH) ir užmegzti ryšį su komandų ir valdymo (C2) domenu, naudojant interneto perdavimo pokalbių (IRC) protokolą.
Galutinis šios kenkėjiškos programos tikslas yra įtraukti pažeistus įrenginius į įvairias užtvindymo atakas prieš konkrečius taikinius, veiksmingai užtvindant jų tinklo išteklius ir sukeliant paslaugų atsisakymo sutrikimus.
Nepaisant daugiau nei metų nuo viešo trūkumo atskleidimo, internete vis dar yra 5 216 „Apache RocketMQ“ atvejų. Organizacijoms labai svarbu atnaujinti į naujausią versiją, kad sumažintų galimas grėsmes.
Be to, ankstesnėse kampanijose buvo parodyta šifravimo veikla, atsirandanti po Muhstik kenkėjiškų programų vykdymo. Ši veikla papildo viena kitą, nes užpuolikai siekia daugintis ir užkrėsti daugiau mašinų, padėdami jų kriptovaliutų kasimo pastangoms panaudodami pažeistų įrenginių skaičiavimo galią.
