Muhstik Malware
Botnet Muhstik, známy svojimi distribuovanými útokmi Denial-of-Service (DDoS), bol spozorovaný pri využívaní nedávno opravenej zraniteľnosti v Apache RocketMQ. Tento exploit umožňuje Muhstiku uniesť zraniteľné servery, čím sa zvýši dosah a vplyv jeho siete. Muhstik, dlhotrvajúca hrozba, sa špecializuje na zacielenie na zariadenia internetu vecí (Internet-of-Things) a linuxové servery. Je neslávne známy svojou odbornosťou v infikovaní zariadení, ich využívaní na ťažbu kryptomien a organizovanie DDoS útokov.
Obsah
Botnet Muhstik využíva slabé stránky softvéru na infikovanie zariadení
Od svojej prvej dokumentácie v roku 2018 sa útočné kampane poháňané malvérom neustále zameriavali na známe bezpečnostné slabiny, najmä tie, ktoré sa nachádzajú vo webových aplikáciách.
Najnovším exploitom, ktorý sa objavil, je CVE-2023-33246, kritická chyba ovplyvňujúca Apache RocketMQ. Táto zraniteľnosť umožňuje vzdialeným, neovereným útočníkom spustiť ľubovoľný kód manipuláciou s obsahom protokolu RocketMQ alebo využitím funkcie konfigurácie aktualizácie.
Po využití tejto zraniteľnosti na získanie počiatočného prístupu aktéri hrozby spustia skript shellu hosťovaný na vzdialenej IP adrese. Tento skript je zodpovedný za načítanie binárneho súboru Muhstik ('pty3') zo samostatného servera.
Vyhýbanie sa detekcii, aby sa doručilo škodlivé zaťaženie
Keď útočník zneužije zraniteľnosť RocketMQ na nahranie škodlivého obsahu, získa možnosť spustiť svoj škodlivý kód, čo vedie k stiahnutiu malvéru Muhstik.
Aby sa zachovala perzistencia na napadnutom hostiteľovi, binárny súbor škodlivého softvéru sa skopíruje do rôznych adresárov a v súbore /etc/inittab sa vykonajú úpravy, ktoré sú zodpovedné za riadenie procesov zavádzania servera Linux, čím sa zabezpečí automatické reštartovanie nebezpečného procesu.
Okrem toho sa malvérový binárny súbor nazýva „pty3“ v snahe objaviť sa ako pseudoterminál („pty“) a vyhnúť sa detekcii. Ďalšia taktika úniku zahŕňa kopírovanie malvéru do adresárov ako /dev/shm, /var/tmp, /run/lock a /run počas pretrvávania, čo umožňuje priame spustenie z pamäte a zabraňuje stopám v systéme.
Útočníci môžu využívať infikované zariadenia mnohými spôsobmi
Muhstik je vybavený schopnosťami zhromažďovať systémové metaúdaje, presúvať sa laterálne medzi zariadeniami cez Secure Shell (SSH) a nadviazať komunikáciu s doménou Command-and-Control (C2) pomocou protokolu Internet Relay Chat (IRC).
Konečným cieľom tohto malvéru je zapojiť napadnuté zariadenia do rôznych záplavových útokov proti konkrétnym cieľom, čím efektívne zaplaví ich sieťové zdroje a spôsobí prerušenie odmietnutia služby.
Napriek viac ako roku od zverejnenia chyby je na internete stále odhalených 5 216 prípadov Apache RocketMQ. Pre organizácie je dôležité aktualizovať na najnovšiu verziu, aby sa zmiernili potenciálne hrozby.
Okrem toho predchádzajúce kampane ukázali, že po spustení malvéru Muhstik dochádza k aktivite kryptomeny. Tieto aktivity sa navzájom dopĺňajú, keď sa útočníci snažia rozmnožiť a infikovať viac strojov, čím pomáhajú pri ich snahách o ťažbu kryptomien využívaním výpočtového výkonu kompromitovaných zariadení.
