Muhstik Malware
O botnet Muhstik, famoso por seus Ataques Distribuídos de Negação de Serviço (DDoS), foi flagrado explorando uma vulnerabilidade recentemente corrigida no Apache RocketMQ. Essa exploração permite que Muhstik sequestre servidores vulneráveis, aumentando o alcance e o impacto de sua rede. Muhstik, uma ameaça de longa data, é especializado em atingir dispositivos IoT (Internet das Coisas) e servidores Linux. Ele é famoso por sua proficiência em infectar dispositivos, utilizá-los para mineração de criptomoedas e orquestrar ataques DDoS.
Índice
O Muhstik Botnet Explora Vulnerabilidades de Software para Infectar Dispositivos
Desde a sua primeira documentação em 2018, as campanhas de ataque orientadas por malware têm como alvo consistentemente vulnerabilidades de segurança conhecidas, especialmente aquelas encontradas em aplicações Web.
A exploração mais recente que surgiu é CVE-2023-33246, uma falha crítica que afeta o Apache RocketMQ. Esta vulnerabilidade permite que invasores remotos e não autenticados executem código arbitrário manipulando o conteúdo do protocolo RocketMQ ou explorando o recurso de configuração de atualização.
Depois de explorar esta vulnerabilidade para obter acesso inicial, os agentes da ameaça executam um script de shell hospedado em um endereço IP remoto. Este script é responsável por buscar o binário Muhstik ('pty3') de um servidor separado.
Evitando Detecção para Entregar Sua Carga Prejudicial
Depois que o invasor explora a vulnerabilidade do RocketMQ para fazer upload de sua carga prejudicial, ele ganha a capacidade de executar seu código prejudicial, levando ao download do malware Muhstik.
Para manter a persistência no host comprometido, o binário do malware é copiado para vários diretórios e modificações são feitas no arquivo /etc/inittab, responsável por gerenciar os processos de inicialização do servidor Linux, garantindo que o processo inseguro seja reiniciado automaticamente.
Além disso, o binário do malware é denominado 'pty3' numa tentativa de aparecer como um pseudoterminal ('pty') e evitar a detecção. Outra tática de evasão envolve copiar o malware para diretórios como /dev/shm, /var/tmp, /run/lock e /run durante a persistência, permitindo a execução direta da memória e evitando rastros no sistema.
Os Invasores podem Explorar os Dispositivos Infectados de Várias Maneiras
Muhstik está equipado com recursos para coletar metadados do sistema, mover-se lateralmente entre dispositivos via Secure Shell (SSH) e estabelecer comunicação com um domínio de comando e controle (C2) usando o protocolo Internet Relay Chat (IRC).
O objetivo final deste malware é alistar dispositivos comprometidos em vários ataques de inundação contra alvos específicos, inundando efetivamente os recursos da rede e causando interrupções de negação de serviço.
Apesar de mais de um ano desde a divulgação pública da falha, ainda existem 5.216 instâncias do Apache RocketMQ expostas na internet. É crucial que as organizações atualizem para a versão mais recente para mitigar ameaças potenciais.
Além disso, campanhas anteriores mostraram atividade de criptomineração ocorrendo após a execução do malware Muhstik. Estas atividades complementam-se à medida que os atacantes procuram proliferar e infectar mais máquinas, auxiliando nos seus esforços de mineração de criptomoedas, utilizando o poder computacional dos dispositivos comprometidos.
