Złośliwe oprogramowanie Muhstik
Botnet Muhstik, znany z rozproszonych ataków typu Denial-of-Service (DDoS), został zauważony wykorzystujący niedawno załataną lukę w zabezpieczeniach Apache RocketMQ. Exploit ten pozwala Muhstikowi przejąć kontrolę nad podatnymi na ataki serwerami, zwiększając zasięg i wpływ jego sieci. Muhstik, zagrożenie od dawna, specjalizuje się w atakowaniu urządzeń IoT (Internet-of-Things) i serwerów Linux. Jest niesławny ze swojej biegłości w infekowania urządzeń, wykorzystywaniu ich do wydobywania kryptowalut i organizowaniu ataków DDoS.
Spis treści
Botnet Muhstik wykorzystuje luki w oprogramowaniu do infekowania urządzeń
Od czasu pierwszej dokumentacji w 2018 r. kampanie ataków wykorzystujących złośliwe oprogramowanie konsekwentnie skupiają się na znanych lukach w zabezpieczeniach, zwłaszcza tych wykrytych w aplikacjach internetowych.
Najnowszym ujawnionym exploitem jest CVE-2023-33246, krytyczna luka wpływająca na Apache RocketMQ. Luka ta umożliwia zdalnym, nieuwierzytelnionym atakującym wykonanie dowolnego kodu poprzez manipulację zawartością protokołu RocketMQ lub wykorzystanie funkcji konfiguracji aktualizacji.
Po wykorzystaniu tej luki w celu uzyskania początkowego dostępu, ugrupowania zagrażające wykonują skrypt powłoki hostowany na zdalnym adresie IP. Skrypt ten jest odpowiedzialny za pobranie pliku binarnego Muhstik („pty3”) z oddzielnego serwera.
Unikanie wykrycia w celu dostarczenia szkodliwego ładunku
Gdy osoba atakująca wykorzysta lukę w zabezpieczeniach RocketMQ w celu przesłania szkodliwego ładunku, zyskuje możliwość wykonania szkodliwego kodu, co prowadzi do pobrania szkodliwego oprogramowania Muhstik.
Aby zachować trwałość na zaatakowanym hoście, plik binarny złośliwego oprogramowania jest kopiowany do różnych katalogów, a modyfikacje wprowadzane są w pliku /etc/inittab, odpowiedzialnym za zarządzanie procesami rozruchu serwera Linux, zapewniając automatyczne ponowne uruchomienie niebezpiecznego procesu.
Co więcej, plik binarny szkodliwego oprogramowania nosi nazwę „pty3” i próbuje wyglądać jak pseudoterminal („pty”) i uniknąć wykrycia. Inna taktyka unikania polega na kopiowaniu złośliwego oprogramowania do katalogów takich jak /dev/shm, /var/tmp, /run/lock i /run podczas utrzymywania, umożliwiając bezpośrednie wykonanie z pamięci i zapobiegając śladom w systemie.
Osoby atakujące mogą wykorzystywać zainfekowane urządzenia na wiele sposobów
Muhstik jest wyposażony w funkcje gromadzenia metadanych systemowych, przemieszczania się między urządzeniami za pośrednictwem Secure Shell (SSH) i nawiązywania komunikacji z domeną Command-and-Control (C2) przy użyciu protokołu Internet Relay Chat (IRC).
Ostatecznym celem tego szkodliwego oprogramowania jest wciągnięcie skompromitowanych urządzeń do różnych ataków zalewania na określone cele, skutecznie zalewając ich zasoby sieciowe i powodując zakłócenia typu „odmowa usługi”.
Pomimo ponad roku od publicznego ujawnienia luki w Internecie nadal ujawniono 5216 wystąpień Apache RocketMQ. Dla organizacji ważne jest, aby zaktualizować oprogramowanie do najnowszej wersji, aby złagodzić potencjalne zagrożenia.
Co więcej, poprzednie kampanie wykazały aktywność wydobywania kryptowalut występującą po uruchomieniu szkodliwego oprogramowania Muhstik. Działania te uzupełniają się wzajemnie, ponieważ osoby atakujące starają się rozsyłać i infekować więcej maszyn, pomagając im w wydobywaniu kryptowalut, wykorzystując moc obliczeniową skompromitowanych urządzeń.
