Muhstik मालवेयर

Muhstik botnet, यसको वितरित अस्वीकार-अफ-सर्भिस (DDoS) आक्रमणहरूको लागि कुख्यात, Apache RocketMQ मा भर्खरै प्याच गरिएको जोखिमको शोषण गरेको देखियो। यो शोषणले Muhstik लाई कमजोर सर्भरहरू अपहरण गर्न अनुमति दिन्छ, यसको नेटवर्कको पहुँच र प्रभाव बढाउँछ। Muhstik, एक लामो समयदेखि खतरा, IoT (इन्टरनेट-अफ-थिंग्स) उपकरणहरू र लिनक्स सर्भरहरू लक्षित गर्नमा माहिर छ। यो यन्त्रहरू संक्रमित गर्ने, क्रिप्टोकरेन्सी खननका लागि प्रयोग गर्ने, र DDoS आक्रमणहरू अर्केस्ट्रेट गर्नमा यसको दक्षताका लागि कुख्यात छ।

Muhstik Botnet ले उपकरणहरू संक्रमित गर्न सफ्टवेयर कमजोरीहरूको शोषण गर्दछ

2018 मा यसको पहिलो दस्तावेज पछि, मालवेयर-संचालित आक्रमण अभियानहरूले लगातार ज्ञात सुरक्षा कमजोरीहरूलाई लक्षित गरेको छ, विशेष गरी वेब अनुप्रयोगहरूमा पाइने।

उदाउने सबैभन्दा हालको शोषण CVE-2023-33246 हो, Apache RocketMQ लाई असर गर्ने एक महत्वपूर्ण त्रुटि। यो जोखिमले टाढाको, अप्रमाणित आक्रमणकारीहरूलाई रकेटएमक्यू प्रोटोकल सामग्री हेरफेर गरेर वा अद्यावधिक कन्फिगरेसन सुविधाको शोषण गरेर मनमानी कोड कार्यान्वयन गर्न सक्षम बनाउँछ।

प्रारम्भिक पहुँच प्राप्त गर्न यो जोखिमको शोषण गरेपछि, खतरा अभिनेताहरूले टाढाको आईपी ठेगानामा होस्ट गरिएको शेल स्क्रिप्ट कार्यान्वयन गर्छन्। यो लिपि अलग सर्भरबाट Muhstik बाइनरी ('pty3') ल्याउन जिम्मेवार छ।

यसको हानिकारक पेलोड डेलिभर गर्न पत्ता लगाउनबाट बच्न

एकपटक आक्रमणकारीले आफ्नो हानिकारक पेलोड अपलोड गर्न RocketMQ कमजोरीको शोषण गरेपछि, तिनीहरूले आफ्नो हानिकारक कोड कार्यान्वयन गर्ने क्षमता प्राप्त गर्छन्, जसले Muhstik मालवेयर डाउनलोड गर्न अग्रसर गर्दछ।

सम्झौता गरिएको होस्टमा निरन्तरता कायम राख्न, मालवेयर बाइनरीलाई विभिन्न डाइरेक्टरीहरूमा प्रतिलिपि गरिएको छ, र /etc/inittab फाइलमा परिमार्जनहरू बनाइन्छ, लिनक्स सर्भर बुट प्रक्रियाहरू प्रबन्ध गर्न जिम्मेवार हुन्छ, असुरक्षित प्रक्रिया स्वचालित रूपमा पुन: सुरु हुन्छ।

यसबाहेक, मालवेयर बाइनरीलाई स्यूडोटर्मिनल ('pty') को रूपमा देखा पर्न र पत्ता लगाउनबाट बच्न प्रयासमा 'pty3' नाम दिइएको छ। अर्को चोरी युक्तिमा /dev/shm, /var/tmp, /run/lock, र /run persistence जस्ता डाइरेक्टरीहरूमा मालवेयर प्रतिलिपि गर्ने, मेमोरीबाट प्रत्यक्ष कार्यान्वयन सक्षम गर्ने र प्रणालीमा ट्रेसहरू रोक्न समावेश छ।

आक्रमणकारीहरूले धेरै तरिकामा संक्रमित यन्त्रहरूको शोषण गर्न सक्छन्

Muhstik प्रणाली मेटाडेटा सङ्कलन गर्न, सुरक्षित शेल (SSH) मार्फत यन्त्रहरूमा पार्श्व रूपमा सार्न, र इन्टरनेट रिले च्याट (IRC) प्रोटोकल प्रयोग गरेर कमाण्ड-एन्ड-कन्ट्रोल (C2) डोमेनसँग सञ्चार स्थापना गर्ने क्षमताहरूसँग सुसज्जित छ।

यस मालवेयरको अन्तिम उद्देश्य विशेष लक्ष्यहरू विरुद्ध विभिन्न बाढी आक्रमणहरूमा सम्झौता गरिएका यन्त्रहरूलाई सूचीबद्ध गर्नु, तिनीहरूको नेटवर्क स्रोतहरूलाई प्रभावकारी रूपमा डुबाउने र सेवा अस्वीकार-अवरोधहरू निम्त्याउने हो।

त्रुटिको सार्वजनिक खुलासा भएको एक वर्ष भन्दा बढीको बावजुद, अझै पनि इन्टरनेटमा Apache RocketMQ को 5,216 वटा उदाहरणहरू छन्। सम्भावित खतराहरू न्यूनीकरण गर्न संगठनहरूलाई नवीनतम संस्करणमा अद्यावधिक गर्न महत्त्वपूर्ण छ।

यसबाहेक, अघिल्लो अभियानहरूले क्रिप्टोमाइनिङ गतिविधि देखाएको छ जुन पोस्ट-मुहस्टिक मालवेयर कार्यान्वयन भएको थियो। आक्रमणकारीहरूले सम्झौता गरिएका उपकरणहरूको कम्प्युटेशनल शक्ति प्रयोग गरेर उनीहरूको क्रिप्टोकरेन्सी खनन प्रयासहरूमा सहयोग गर्दै थप मेसिनहरू फैलाउन र संक्रमित गर्न खोज्दा यी गतिविधिहरू एकअर्काको पूरक हुन्छन्।