Muhstik Malware
Rețeaua botnet Muhstik, renumită pentru atacurile sale distribuite de tip Denial-of-Service (DDoS), a fost depistată exploatând o vulnerabilitate corectată recent în Apache RocketMQ. Acest exploit îi permite lui Muhstik să deturneze servere vulnerabile, sporind raza de acoperire și impactul rețelei sale. Muhstik, o amenințare de lungă durată, este specializată în vizarea dispozitivelor IoT (Internet-of-Things) și a serverelor Linux. Este renumit pentru competența sa de a infecta dispozitive, de a le folosi pentru minerit de criptomonede și de a orchestra atacurile DDoS.
Cuprins
Muhstik Botnet exploatează vulnerabilitățile software pentru a infecta dispozitivele
De la prima documentare din 2018, campaniile de atacuri bazate pe malware au vizat în mod constant vulnerabilitățile de securitate cunoscute, în special cele găsite în aplicațiile web.
Cel mai recent exploit care a apărut este CVE-2023-33246, o defecțiune critică care afectează Apache RocketMQ. Această vulnerabilitate permite atacatorilor de la distanță, neautentificați, să execute cod arbitrar manipulând conținutul protocolului RocketMQ sau exploatând caracteristica de configurare a actualizării.
După exploatarea acestei vulnerabilități pentru a obține accesul inițial, actorii amenințărilor execută un script shell găzduit pe o adresă IP de la distanță. Acest script este responsabil pentru preluarea binarului Muhstik ('pty3') de la un server separat.
Evitarea detectării pentru a furniza sarcina utilă dăunătoare
Odată ce atacatorul exploatează vulnerabilitatea RocketMQ pentru a-și încărca încărcătura utilă dăunătoare, acesta dobândește capacitatea de a-și executa codul dăunător, ceea ce duce la descărcarea malware-ului Muhstik.
Pentru a menține persistența pe gazda compromisă, binarul malware este copiat în diferite directoare și se fac modificări la fișierul /etc/inittab, responsabil cu gestionarea proceselor de pornire a serverului Linux, asigurând repornirea automată a procesului nesigur.
Mai mult decât atât, binarul malware este numit „pty3” în încercarea de a apărea ca pseudoterminal („pty”) și de a evita detectarea. O altă tactică de evaziune implică copierea malware-ului în directoare precum /dev/shm, /var/tmp, /run/lock și /run în timpul persistenței, permițând execuția directă din memorie și prevenind urmele pe sistem.
Atacatorii pot exploata dispozitivele infectate în numeroase moduri
Muhstik este echipat cu capabilități de a colecta metadate de sistem, de a se deplasa lateral pe dispozitive prin Secure Shell (SSH) și de a stabili comunicarea cu un domeniu Command-and-Control (C2) folosind protocolul Internet Relay Chat (IRC).
Scopul final al acestui malware este acela de a implica dispozitive compromise în diferite atacuri de inundații împotriva unor ținte specifice, inundându-le în mod eficient resursele rețelei și provocând întreruperi de refuzare a serviciului.
În ciuda a mai bine de un an de la dezvăluirea publică a defectului, există încă 5.216 de cazuri de Apache RocketMQ expuse pe internet. Este esențial pentru organizații să se actualizeze la cea mai recentă versiune pentru a atenua potențialele amenințări.
În plus, campaniile anterioare au arătat că activitatea de criptomină are loc după executarea programelor malware Muhstik. Aceste activități se completează reciproc, deoarece atacatorii caută să prolifereze și să infecteze mai multe mașini, ajutând în eforturile lor de minare a criptomonedei prin utilizarea puterii de calcul a dispozitivelor compromise.
