Muhstik Malware
Botnet Muhstik, razvpit po svojih porazdeljenih napadih zavrnitve storitve (DDoS), je bil opažen pri izkoriščanju nedavno popravljene ranljivosti v Apache RocketMQ. Ta podvig omogoča podjetju Muhstik, da ugrabi ranljive strežnike, s čimer poveča doseg in vpliv svojega omrežja. Muhstik, dolgoletna grožnja, je specializiran za ciljanje na naprave IoT (Internet-of-Things) in strežnike Linux. Razvpit je po svoji spretnosti pri okuževanju naprav, njihovi uporabi za rudarjenje kriptovalut in orkestriranju napadov DDoS.
Kazalo
Botnet Muhstik izkorišča ranljivosti programske opreme za okužbo naprav
Od svoje prve dokumentacije leta 2018 so napadalne kampanje, ki jih poganja zlonamerna programska oprema, dosledno ciljale na znane varnostne ranljivosti, zlasti tiste, ki jih najdemo v spletnih aplikacijah.
Najnovejša napaka, ki se je pojavila, je CVE-2023-33246, kritična napaka, ki vpliva na Apache RocketMQ. Ta ranljivost omogoča oddaljenim, nepreverjenim napadalcem, da izvedejo poljubno kodo z manipulacijo vsebine protokola RocketMQ ali izkoriščajo funkcijo posodobitve konfiguracije.
Po izkoriščanju te ranljivosti za pridobitev začetnega dostopa akterji groženj izvedejo lupinski skript, ki gostuje na oddaljenem naslovu IP. Ta skript je odgovoren za pridobivanje binarne datoteke Muhstik ('pty3') iz ločenega strežnika.
Izogibanje zaznavanju zaradi prenosa njegovega škodljivega tovora
Ko napadalec izkoristi ranljivost RocketMQ za nalaganje svojega škodljivega tovora, pridobi možnost izvajanja svoje škodljive kode, kar vodi do prenosa zlonamerne programske opreme Muhstik.
Za ohranitev obstojnosti na ogroženem gostitelju se dvojiška zlonamerna programska oprema prekopira v različne imenike in spremeni se datoteka /etc/inittab, odgovorna za upravljanje zagonskih procesov strežnika Linux, s čimer se zagotovi samodejni ponovni zagon nevarnega procesa.
Poleg tega je binarna zlonamerna programska oprema poimenovana 'pty3', da bi se prikazala kot psevdoterminal ('pty') in se izognila zaznavi. Druga taktika izogibanja vključuje kopiranje zlonamerne programske opreme v imenike, kot so /dev/shm, /var/tmp, /run/lock in /run med obstojnostjo, kar omogoča neposredno izvajanje iz pomnilnika in preprečuje sledi v sistemu.
Napadalci lahko okužene naprave izkoristijo na številne načine
Muhstik je opremljen z zmožnostmi zbiranja sistemskih metapodatkov, bočnega premikanja po napravah prek varne lupine (SSH) in vzpostavitve komunikacije z domeno ukazov in nadzora (C2) z uporabo protokola internetnega relejnega klepeta (IRC).
Končni cilj te zlonamerne programske opreme je vključiti ogrožene naprave v različne poplavne napade na določene tarče, s čimer učinkovito preplavi njihove omrežne vire in povzroči motnje zaradi zavrnitve storitve.
Kljub več kot enemu letu od javnega razkritja napake je na internetu še vedno izpostavljenih 5216 primerkov Apache RocketMQ. Za organizacije je ključnega pomena, da posodobijo na najnovejšo različico, da ublažijo morebitne grožnje.
Poleg tega so prejšnje kampanje pokazale, da se dejavnost kriptokopanja pojavlja po izvajanju zlonamerne programske opreme Muhstik. Te dejavnosti se medsebojno dopolnjujejo, saj si napadalci prizadevajo razširiti in okužiti več strojev, s čimer pomagajo pri svojih prizadevanjih za rudarjenje kriptovalut z uporabo računalniške moči ogroženih naprav.
