Muhstik Malware
Muhstik-botnettet, beryktet for sine distribuerte Denial-of-Service-angrep (DDoS), har blitt oppdaget utnytte en nylig rettet sårbarhet i Apache RocketMQ. Denne utnyttelsen lar Muhstik kapre sårbare servere, noe som øker nettverkets rekkevidde og effekt. Muhstik, en langvarig trussel, spesialiserer seg på å målrette IoT-enheter (Internet-of-Things) og Linux-servere. Det er beryktet for sin dyktighet i å infisere enheter, bruke dem til gruvedrift av kryptovaluta og orkestrere DDoS-angrep.
Innholdsfortegnelse
Muhstik Botnet utnytter programvaresårbarheter for å infisere enheter
Siden den første dokumentasjonen i 2018, har malware-drevne angrepskampanjer konsekvent rettet mot kjente sikkerhetssårbarheter, spesielt de som finnes i nettapplikasjoner.
Den siste utnyttelsen som dukket opp er CVE-2023-33246, en kritisk feil som påvirker Apache RocketMQ. Dette sikkerhetsproblemet gjør det mulig for eksterne, uautentiserte angripere å kjøre vilkårlig kode ved å manipulere RocketMQ-protokollinnhold eller utnytte funksjonen for oppdateringskonfigurasjon.
Etter å ha utnyttet dette sikkerhetsproblemet for å få førstegangstilgang, kjører trusselaktører et shell-skript som er vert på en ekstern IP-adresse. Dette skriptet er ansvarlig for å hente Muhstik-binæren ('pty3') fra en separat server.
Unngå deteksjon for å levere sin skadelige nyttelast
Når angriperen utnytter RocketMQ-sårbarheten for å laste opp den skadelige nyttelasten, får de muligheten til å utføre den skadelige koden, noe som fører til nedlasting av Muhstik-malwaren.
For å opprettholde utholdenhet på den kompromitterte verten, kopieres binærfilen for skadelig programvare til forskjellige kataloger, og modifikasjoner gjøres i /etc/inittab-filen, ansvarlig for å administrere Linux-serveroppstartsprosesser, og sikrer at den usikre prosessen starter på nytt automatisk.
Dessuten heter binærfilen for skadelig programvare 'pty3' i et forsøk på å fremstå som en pseudoterminal ('pty') og unngå deteksjon. En annen unnvikelsestaktikk innebærer å kopiere skadevaren til kataloger som /dev/shm, /var/tmp, /run/lock og /run under persistens, noe som muliggjør direkte kjøring fra minnet og forhindrer spor på systemet.
Angripere kan utnytte de infiserte enhetene på mange måter
Muhstik er utstyrt med muligheter for å samle systemmetadata, flytte sideveis på tvers av enheter via Secure Shell (SSH), og etablere kommunikasjon med et Command-and-Control (C2)-domene ved hjelp av Internet Relay Chat (IRC)-protokollen.
Det endelige målet med denne skadelige programvaren er å verve kompromitterte enheter i forskjellige flomangrep mot spesifikke mål, effektivt oversvømme nettverksressursene deres og forårsake tjenestenekt.
Til tross for mer enn et år siden offentlig avsløring av feilen, er det fortsatt 5 216 tilfeller av Apache RocketMQ eksponert på internett. Det er avgjørende for organisasjoner å oppdatere til den nyeste versjonen for å redusere potensielle trusler.
Videre har tidligere kampanjer vist kryptominerende aktivitet som oppstår etter utførelse av skadelig programvare etter Muhstik. Disse aktivitetene utfyller hverandre ettersom angripere prøver å spre seg og infisere flere maskiner, og hjelper til med deres forsøk på å utvinne kryptovaluta ved å utnytte beregningskraften til kompromitterte enheter.
