ਮੁਹਸਟਿਕ ਮਾਲਵੇਅਰ

ਮੁਹਸਟਿਕ ਬੋਟਨੈੱਟ, ਇਸਦੇ ਡਿਸਟ੍ਰੀਬਿਊਟਿਡ ਡੈਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲਿਆਂ ਲਈ ਬਦਨਾਮ ਹੈ, ਨੂੰ Apache RocketMQ ਵਿੱਚ ਹਾਲ ਹੀ ਵਿੱਚ ਪੈਚ ਕੀਤੀ ਗਈ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਦੇਖਿਆ ਗਿਆ ਹੈ। ਇਹ ਸ਼ੋਸ਼ਣ ਮੁਹਸਟਿਕ ਨੂੰ ਕਮਜ਼ੋਰ ਸਰਵਰਾਂ ਨੂੰ ਹਾਈਜੈਕ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ, ਇਸਦੇ ਨੈੱਟਵਰਕ ਦੀ ਪਹੁੰਚ ਅਤੇ ਪ੍ਰਭਾਵ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ। ਮੁਹਸਟਿਕ, ਇੱਕ ਲੰਬੇ ਸਮੇਂ ਤੋਂ ਖਤਰਾ, IoT (ਇੰਟਰਨੈਟ-ਆਫ-ਥਿੰਗਜ਼) ਡਿਵਾਈਸਾਂ ਅਤੇ ਲੀਨਕਸ ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਿੱਚ ਮਾਹਰ ਹੈ। ਇਹ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ, ਉਹਨਾਂ ਨੂੰ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਲਈ ਵਰਤਣ, ਅਤੇ DDoS ਹਮਲਿਆਂ ਨੂੰ ਆਰਕੇਸਟ੍ਰੇਟ ਕਰਨ ਵਿੱਚ ਆਪਣੀ ਮੁਹਾਰਤ ਲਈ ਬਦਨਾਮ ਹੈ।

ਮੁਹਸਟਿਕ ਬੋਟਨੈੱਟ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਸੌਫਟਵੇਅਰ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ

2018 ਵਿੱਚ ਇਸਦੇ ਪਹਿਲੇ ਦਸਤਾਵੇਜ਼ਾਂ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸੰਚਾਲਿਤ ਹਮਲਾ ਮੁਹਿੰਮਾਂ ਨੇ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ, ਖਾਸ ਤੌਰ 'ਤੇ ਵੈੱਬ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਪਾਈਆਂ ਜਾਣ ਵਾਲੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਲਗਾਤਾਰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ।

ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਸ਼ੋਸ਼ਣ CVE-2023-33246 ਹੈ, Apache RocketMQ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਵਾਲੀ ਇੱਕ ਗੰਭੀਰ ਨੁਕਸ। ਇਹ ਕਮਜ਼ੋਰੀ ਰਿਮੋਟ, ਅਣ-ਪ੍ਰਮਾਣਿਤ ਹਮਲਾਵਰਾਂ ਨੂੰ RocketMQ ਪ੍ਰੋਟੋਕੋਲ ਸਮੱਗਰੀ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਕੇ ਜਾਂ ਅੱਪਡੇਟ ਕੌਂਫਿਗਰੇਸ਼ਨ ਵਿਸ਼ੇਸ਼ਤਾ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਮਨਮਾਨੇ ਕੋਡ ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਇਸ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਇੱਕ ਰਿਮੋਟ IP ਐਡਰੈੱਸ 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ ਨੂੰ ਚਲਾਉਂਦੇ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟ ਇੱਕ ਵੱਖਰੇ ਸਰਵਰ ਤੋਂ ਮੁਹਸਟਿਕ ਬਾਈਨਰੀ ('pty3') ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ।

ਇਸਦੇ ਨੁਕਸਾਨਦੇਹ ਪੇਲੋਡ ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਖੋਜ ਤੋਂ ਬਚਣਾ

ਇੱਕ ਵਾਰ ਹਮਲਾਵਰ ਆਪਣੇ ਹਾਨੀਕਾਰਕ ਪੇਲੋਡ ਨੂੰ ਅਪਲੋਡ ਕਰਨ ਲਈ RocketMQ ਕਮਜ਼ੋਰੀ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ, ਉਹ ਆਪਣੇ ਹਾਨੀਕਾਰਕ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਯੋਗਤਾ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਮੁਹਸਟਿਕ ਮਾਲਵੇਅਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਮਝੌਤਾ ਕੀਤੇ ਮੇਜ਼ਬਾਨ 'ਤੇ ਸਥਿਰਤਾ ਬਣਾਈ ਰੱਖਣ ਲਈ, ਮਾਲਵੇਅਰ ਬਾਈਨਰੀ ਨੂੰ ਵੱਖ-ਵੱਖ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਕਾਪੀ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ /etc/inittab ਫਾਈਲ ਵਿੱਚ ਸੋਧਾਂ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ, ਜੋ ਕਿ ਲੀਨਕਸ ਸਰਵਰ ਬੂਟ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੇ ਪ੍ਰਬੰਧਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹਨ, ਇਹ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਿ ਅਸੁਰੱਖਿਅਤ ਪ੍ਰਕਿਰਿਆ ਆਪਣੇ ਆਪ ਮੁੜ ਚਾਲੂ ਹੁੰਦੀ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਬਾਈਨਰੀ ਨੂੰ ਸੂਡੋਟਰਮਿਨਲ ('pty') ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਗਟ ਹੋਣ ਅਤੇ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਵਿੱਚ 'pty3' ਨਾਮ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਹੋਰ ਚੋਰੀ ਦੀ ਰਣਨੀਤੀ ਵਿੱਚ ਮਾਲਵੇਅਰ ਨੂੰ /dev/shm, /var/tmp, /run/lock, ਅਤੇ /run ਨਿਰੰਤਰਤਾ ਦੇ ਦੌਰਾਨ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਕਾਪੀ ਕਰਨਾ, ਮੈਮੋਰੀ ਤੋਂ ਸਿੱਧੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ ਅਤੇ ਸਿਸਟਮ ਉੱਤੇ ਟਰੇਸ ਨੂੰ ਰੋਕਣਾ ਸ਼ਾਮਲ ਹੈ।

ਹਮਲਾਵਰ ਕਈ ਤਰੀਕਿਆਂ ਨਾਲ ਸੰਕਰਮਿਤ ਉਪਕਰਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰ ਸਕਦੇ ਹਨ

ਮੁਹਸਟਿਕ ਸਿਸਟਮ ਮੈਟਾਡੇਟਾ ਇਕੱਠਾ ਕਰਨ, ਸਕਿਓਰ ਸ਼ੈੱਲ (SSH) ਦੁਆਰਾ ਡਿਵਾਈਸਾਂ ਵਿੱਚ ਪਾਸੇ ਵੱਲ ਜਾਣ, ਅਤੇ ਇੰਟਰਨੈਟ ਰੀਲੇਅ ਚੈਟ (IRC) ਪ੍ਰੋਟੋਕੋਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਡੋਮੇਨ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਹੈ।

ਇਸ ਮਾਲਵੇਅਰ ਦਾ ਅੰਤਮ ਉਦੇਸ਼ ਖਾਸ ਟੀਚਿਆਂ ਦੇ ਵਿਰੁੱਧ ਵੱਖ-ਵੱਖ ਹੜ੍ਹਾਂ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਯੰਤਰਾਂ ਨੂੰ ਸੂਚੀਬੱਧ ਕਰਨਾ ਹੈ, ਉਹਨਾਂ ਦੇ ਨੈਟਵਰਕ ਸਰੋਤਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਡੁਬੋਣਾ ਅਤੇ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ ਕਰਨ ਵਿੱਚ ਰੁਕਾਵਟ ਪੈਦਾ ਕਰਨਾ ਹੈ।

ਨੁਕਸ ਦੇ ਜਨਤਕ ਖੁਲਾਸੇ ਤੋਂ ਇੱਕ ਸਾਲ ਤੋਂ ਵੱਧ ਸਮੇਂ ਦੇ ਬਾਵਜੂਦ, ਅਜੇ ਵੀ ਇੰਟਰਨੈੱਟ 'ਤੇ ਅਪਾਚੇ ਰਾਕੇਟਐਮਕਿਊ ਦੀਆਂ 5,216 ਉਦਾਹਰਣਾਂ ਸਾਹਮਣੇ ਆਈਆਂ ਹਨ। ਸੰਭਾਵੀ ਖਤਰਿਆਂ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਸੰਗਠਨਾਂ ਲਈ ਨਵੀਨਤਮ ਸੰਸਕਰਣ ਨੂੰ ਅੱਪਡੇਟ ਕਰਨਾ ਮਹੱਤਵਪੂਰਨ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਨੇ ਮੁਹਸਟਿਕ ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਤੋਂ ਬਾਅਦ ਹੋਣ ਵਾਲੀ ਕ੍ਰਿਪਟੋਮਾਈਨਿੰਗ ਗਤੀਵਿਧੀ ਨੂੰ ਦਿਖਾਇਆ ਹੈ। ਇਹ ਗਤੀਵਿਧੀਆਂ ਇੱਕ ਦੂਜੇ ਦੇ ਪੂਰਕ ਹਨ ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਸਮਝੌਤਾ ਕੀਤੇ ਯੰਤਰਾਂ ਦੀ ਕੰਪਿਊਟੇਸ਼ਨਲ ਸ਼ਕਤੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਉਹਨਾਂ ਦੇ ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਮਾਈਨਿੰਗ ਯਤਨਾਂ ਵਿੱਚ ਸਹਾਇਤਾ ਕਰਦੇ ਹੋਏ, ਹੋਰ ਮਸ਼ੀਨਾਂ ਨੂੰ ਫੈਲਾਉਣ ਅਤੇ ਸੰਕਰਮਿਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦੇ ਹਨ।