Muhstik-malware
Het Muhstik-botnet, berucht om zijn gedistribueerde Denial-of-Service (DDoS)-aanvallen, is gesignaleerd door misbruik te maken van een recentelijk gepatchte kwetsbaarheid in Apache RocketMQ. Dankzij deze exploit kan Muhstik kwetsbare servers kapen, waardoor het bereik en de impact van zijn netwerk worden vergroot. Muhstik, een al lang bestaand gevaar, is gespecialiseerd in het aanvallen van IoT-apparaten (Internet-of-Things) en Linux-servers. Het staat bekend om zijn vaardigheid in het infecteren van apparaten, het gebruik ervan voor cryptocurrency-mining en het orkestreren van DDoS-aanvallen.
Inhoudsopgave
Het Muhstik-botnet maakt misbruik van softwarekwetsbaarheden om apparaten te infecteren
Sinds de eerste documentatie in 2018 hebben malwaregestuurde aanvalscampagnes zich consequent gericht op bekende beveiligingsproblemen, vooral die in webapplicaties.
De meest recente exploit die naar voren is gekomen is CVE-2023-33246, een kritieke fout die gevolgen heeft voor Apache RocketMQ. Dit beveiligingslek stelt externe, niet-geverifieerde aanvallers in staat willekeurige code uit te voeren door de inhoud van het RocketMQ-protocol te manipuleren of de updateconfiguratiefunctie te misbruiken.
Na misbruik te hebben gemaakt van dit beveiligingslek om initiële toegang te verkrijgen, voeren bedreigingsactoren een shellscript uit dat wordt gehost op een extern IP-adres. Dit script is verantwoordelijk voor het ophalen van het binaire bestand Muhstik ('pty3') van een afzonderlijke server.
Het vermijden van detectie om de schadelijke lading af te leveren
Zodra de aanvaller de RocketMQ-kwetsbaarheid misbruikt om zijn schadelijke lading te uploaden, krijgt hij de mogelijkheid om zijn schadelijke code uit te voeren, wat leidt tot het downloaden van de Muhstik-malware.
Om de persistentie op de gecompromitteerde host te behouden, wordt het binaire bestand van malware naar verschillende mappen gekopieerd en worden er wijzigingen aangebracht in het bestand /etc/inittab, dat verantwoordelijk is voor het beheer van de opstartprocessen van de Linux-server, zodat het onveilige proces automatisch opnieuw wordt opgestart.
Bovendien wordt de binaire malware 'pty3' genoemd in een poging om als een pseudoterminal ('pty') te verschijnen en detectie te omzeilen. Een andere ontwijkingstactiek is het kopiëren van de malware naar mappen als /dev/shm, /var/tmp, /run/lock en /run tijdens persistentie, waardoor directe uitvoering vanuit het geheugen mogelijk wordt en sporen op het systeem worden voorkomen.
Aanvallers kunnen de geïnfecteerde apparaten op verschillende manieren misbruiken
Muhstik is uitgerust met mogelijkheden om systeemmetagegevens te verzamelen, zijwaarts tussen apparaten te verplaatsen via Secure Shell (SSH) en communicatie tot stand te brengen met een Command-and-Control (C2) -domein met behulp van het Internet Relay Chat (IRC) -protocol.
Het uiteindelijke doel van deze malware is om gecompromitteerde apparaten te betrekken bij verschillende overstromingsaanvallen op specifieke doelen, waardoor hun netwerkbronnen effectief worden overspoeld en denial-of-service-verstoringen worden veroorzaakt.
Ondanks dat het meer dan een jaar geleden is dat de fout openbaar werd gemaakt, zijn er nog steeds 5.216 exemplaren van Apache RocketMQ op het internet te vinden. Het is van cruciaal belang voor organisaties om te updaten naar de nieuwste versie om potentiële bedreigingen te beperken.
Bovendien hebben eerdere campagnes aangetoond dat cryptomining-activiteiten plaatsvonden na de uitvoering van de Muhstik-malware. Deze activiteiten vullen elkaar aan terwijl aanvallers proberen meer machines te verspreiden en te infecteren, wat helpt bij hun cryptocurrency mining-inspanningen door gebruik te maken van de rekenkracht van gecompromitteerde apparaten.
