Muhstik ļaunprātīga programmatūra
Bottīkls Muhstik, kas ir bēdīgi slavens ar izplatītajiem pakalpojuma atteikuma (DDoS) uzbrukumiem, ir pamanīts, izmantojot nesen aizlāpītu Apache RocketMQ ievainojamību. Šī izmantošana ļauj Muhstik nolaupīt neaizsargātus serverus, uzlabojot tīkla sasniedzamību un ietekmi. Muhstik, ilgstošs drauds, specializējas IoT (lietiskā interneta) ierīču un Linux serveru mērķauditorijas atlasē. Tas ir bēdīgi slavens ar savām prasmēm inficēt ierīces, izmantot tās kriptovalūtas ieguvei un organizēt DDoS uzbrukumus.
Satura rādītājs
Muhstik robottīkls izmanto programmatūras ievainojamības, lai inficētu ierīces
Kopš pirmās dokumentācijas 2018. gadā ļaunprātīgas programmatūras virzītas uzbrukuma kampaņas ir konsekventi vērstas pret zināmām drošības ievainojamībām, īpaši tām, kas atrodamas tīmekļa lietojumprogrammās.
Jaunākais atklājums ir CVE-2023-33246, kas ir kritisks trūkums, kas ietekmē Apache RocketMQ. Šī ievainojamība ļauj attāliem, neautentificētiem uzbrucējiem izpildīt patvaļīgu kodu, manipulējot ar RocketMQ protokola saturu vai izmantojot atjaunināšanas konfigurācijas līdzekli.
Pēc šīs ievainojamības izmantošanas, lai iegūtu sākotnējo piekļuvi, apdraudējuma dalībnieki izpilda čaulas skriptu, kas tiek mitināts attālā IP adresē. Šis skripts ir atbildīgs par Muhstik binārā ("pty3") ielādi no atsevišķa servera.
Izvairīšanās no atklāšanas, lai piegādātu kaitīgo kravu
Kad uzbrucējs izmanto RocketMQ ievainojamību, lai augšupielādētu savu kaitīgo slodzi, viņš iegūst iespēju izpildīt savu kaitīgo kodu, kā rezultātā tiek lejupielādēta Muhstik ļaunprātīga programmatūra.
Lai saglabātu noturību apdraudētajā resursdatorā, ļaunprogrammatūras binārais fails tiek kopēts dažādos direktorijos un tiek veiktas izmaiņas failā /etc/inittab, kas ir atbildīgs par Linux servera sāknēšanas procesu pārvaldību, nodrošinot nedrošā procesa automātisku restartēšanu.
Turklāt ļaunprogrammatūras binārais fails tiek nosaukts par "pty3", mēģinot parādīties kā pseidotermināls ("pty") un izvairīties no atklāšanas. Vēl viena izvairīšanās taktika ietver ļaunprātīgas programmatūras kopēšanu uz direktorijiem, piemēram, /dev/shm, /var/tmp, /run/lock un /run noturības laikā, nodrošinot tiešu izpildi no atmiņas un novēršot pēdas sistēmā.
Uzbrucēji var izmantot inficētās ierīces dažādos veidos
Muhstik ir aprīkots ar iespējām apkopot sistēmas metadatus, pārvietoties uz sāniem starp ierīcēm, izmantojot Secure Shell (SSH), un izveidot saziņu ar Command-and-Control (C2) domēnu, izmantojot Internet Relay Chat (IRC) protokolu.
Šīs ļaunprātīgās programmatūras galvenais mērķis ir iesaistīt apdraudētās ierīces dažādos plūdu uzbrukumos konkrētiem mērķiem, efektīvi pārpludinot to tīkla resursus un izraisot pakalpojuma atteikuma traucējumus.
Neraugoties uz vairāk nekā gadu kopš defekta publiskas atklāšanas, internetā joprojām ir atklāti 5216 Apache RocketMQ gadījumi. Organizācijām ir ļoti svarīgi atjaunināt uz jaunāko versiju, lai mazinātu iespējamos draudus.
Turklāt iepriekšējās kampaņas ir parādījušas šifrēšanas darbību, kas notiek pēc Muhstik ļaunprātīgas programmatūras izpildes. Šīs darbības papildina viena otru, jo uzbrucēji cenšas izplatīties un inficēt vairāk iekārtu, palīdzot viņu kriptovalūtas ieguves centienos, izmantojot apdraudēto ierīču skaitļošanas jaudu.
