Вредоносное ПО Muhstik
Ботнет Muhstik, известный своими распределенными атаками типа «отказ в обслуживании» (DDoS), был замечен использующим недавно исправленную уязвимость в Apache RocketMQ. Этот эксплойт позволяет Muhstik захватывать уязвимые серверы, увеличивая охват и влияние своей сети. Muhstik, давняя угроза, специализируется на атаках на устройства IoT (Интернета вещей) и серверы Linux. Он печально известен своим умением заражать устройства, использовать их для майнинга криптовалюты и организовывать DDoS-атаки.
Оглавление
Ботнет Muhstik использует уязвимости программного обеспечения для заражения устройств
С момента появления первой документации в 2018 году кампании атак с использованием вредоносных программ последовательно нацелены на известные уязвимости безопасности, особенно те, которые обнаружены в веб-приложениях.
Самый последний обнаруженный эксплойт — CVE-2023-33246, критический недостаток, влияющий на Apache RocketMQ. Эта уязвимость позволяет удаленным злоумышленникам, не прошедшим проверку подлинности, выполнять произвольный код, манипулируя содержимым протокола RocketMQ или используя функцию обновления конфигурации.
Воспользовавшись этой уязвимостью для получения первоначального доступа, злоумышленники выполняют сценарий оболочки, размещенный на удаленном IP-адресе. Этот скрипт отвечает за получение двоичного файла Muhstik («pty3») с отдельного сервера.
Избегание обнаружения для доставки вредоносной полезной нагрузки
Как только злоумышленник использует уязвимость RocketMQ для загрузки своих вредоносных полезных данных, он получает возможность выполнить свой вредоносный код, что приводит к загрузке вредоносного ПО Muhstik.
Чтобы сохранить постоянство на скомпрометированном хосте, двоичный файл вредоносной программы копируется в различные каталоги, а также вносятся изменения в файл /etc/inittab, отвечающий за управление процессами загрузки сервера Linux, обеспечивая автоматический перезапуск небезопасного процесса.
Более того, двоичный файл вредоносной программы назван «pty3» в попытке выглядеть как псевдотерминал («pty») и избежать обнаружения. Другая тактика уклонения предполагает копирование вредоносного ПО в такие каталоги, как /dev/shm, /var/tmp, /run/lock и /run во время сохранения, что обеспечивает прямое выполнение из памяти и предотвращает появление следов в системе.
Злоумышленники могут использовать зараженные устройства множеством способов.
Muhstik оснащен возможностями сбора системных метаданных, горизонтального перемещения между устройствами через Secure Shell (SSH) и установления связи с доменом управления и контроля (C2) с использованием протокола Internet Relay Chat (IRC).
Конечная цель этого вредоносного ПО — вовлечь скомпрометированные устройства в различные лавинные атаки на определенные цели, эффективно наводняя их сетевые ресурсы и вызывая сбои в обслуживании.
Несмотря на то, что прошло более года с момента публичного раскрытия уязвимости, в Интернете все еще есть 5216 экземпляров Apache RocketMQ. Для организаций крайне важно обновиться до последней версии, чтобы снизить потенциальные угрозы.
Кроме того, предыдущие кампании показали, что активность криптомайнинга происходила после запуска вредоносного ПО Muhstik. Эти действия дополняют друг друга, поскольку злоумышленники стремятся распространить и заразить больше компьютеров, помогая им в майнинге криптовалюты, используя вычислительную мощность скомпрометированных устройств.
