Muhstik Malware
Botnet-i Muhstik, i njohur për sulmet e tij të shpërndara Denial-of-Service (DDoS), është parë duke shfrytëzuar një cenueshmëri të rregulluar së fundmi në Apache RocketMQ. Ky shfrytëzim lejon Muhstik të rrëmbejë serverët e cenueshëm, duke rritur shtrirjen dhe ndikimin e rrjetit të tij. Muhstik, një kërcënim i gjatë, është i specializuar në shënjestrimin e pajisjeve IoT (Internet-of-Things) dhe serverëve Linux. Është famëkeq për aftësitë e tij në infektimin e pajisjeve, përdorimin e tyre për minierat e kriptomonedhave dhe orkestrimin e sulmeve DDoS.
Tabela e Përmbajtjes
Muhstik Botnet shfrytëzon dobësitë e softuerit për të infektuar pajisjet
Që nga dokumentacioni i tij i parë në vitin 2018, fushatat e sulmeve të drejtuara nga malware kanë synuar vazhdimisht dobësitë e njohura të sigurisë, veçanërisht ato që gjenden në aplikacionet në ueb.
Shfrytëzimi më i fundit që u shfaq është CVE-2023-33246, një defekt kritik që ndikon në Apache RocketMQ. Kjo dobësi u mundëson sulmuesve të largët dhe të paautentikuar të ekzekutojnë kode arbitrare duke manipuluar përmbajtjen e protokollit RocketMQ ose duke shfrytëzuar veçorinë e konfigurimit të përditësimit.
Pas shfrytëzimit të kësaj dobësie për të fituar akses fillestar, aktorët e kërcënimit ekzekutojnë një skript shell të vendosur në një adresë IP të largët. Ky skript është përgjegjës për marrjen e binarit Muhstik ('pty3') nga një server i veçantë.
Shmangia e zbulimit për të ofruar ngarkesën e tij të dëmshme
Pasi sulmuesi shfrytëzon cenueshmërinë RocketMQ për të ngarkuar ngarkesën e tyre të dëmshme, ata fitojnë aftësinë për të ekzekutuar kodin e tyre të dëmshëm, duke çuar në shkarkimin e malware Muhstik.
Për të ruajtur qëndrueshmërinë në hostin e komprometuar, binarja e malware kopjohet në drejtori të ndryshme dhe bëhen modifikime në skedarin /etc/inittab, përgjegjës për menaxhimin e proceseve të nisjes së serverit Linux, duke siguruar që procesi i pasigurt të riniset automatikisht.
Për më tepër, binar i malware quhet 'pty3' në një përpjekje për t'u shfaqur si një pseudoterminal ('pty') dhe për të shmangur zbulimin. Një tjetër taktikë evazioni përfshin kopjimin e malware në drejtori si /dev/shm, /var/tmp, /run/lock dhe /run gjatë qëndrueshmërisë, duke mundësuar ekzekutimin e drejtpërdrejtë nga memorja dhe duke parandaluar gjurmët në sistem.
Sulmuesit mund të shfrytëzojnë pajisjet e infektuara në mënyra të shumta
Muhstik është i pajisur me aftësi për të mbledhur meta të dhëna të sistemit, për të lëvizur anash nëpër pajisje përmes Secure Shell (SSH) dhe për të vendosur komunikim me një domen Command-and-Control (C2) duke përdorur protokollin Internet Relay Chat (IRC).
Qëllimi përfundimtar i këtij malware është të përfshijë pajisjet e komprometuara në sulme të ndryshme përmbytjeje kundër objektivave specifike, duke përmbytur efektivisht burimet e tyre të rrjetit dhe duke shkaktuar ndërprerje të mohimit të shërbimit.
Pavarësisht më shumë se një viti që nga zbulimi publik i defektit, ka ende 5,216 raste të Apache RocketMQ të ekspozuara në internet. Është thelbësore që organizatat të përditësojnë në versionin më të fundit për të zbutur kërcënimet e mundshme.
Për më tepër, fushatat e mëparshme kanë treguar aktivitet kriptominues që ndodh pas ekzekutimit të malware-it Muhstik. Këto aktivitete plotësojnë njëra-tjetrën ndërsa sulmuesit kërkojnë të përhapen dhe infektojnë më shumë makina, duke ndihmuar në përpjekjet e tyre për minierat e kriptomonedhave duke përdorur fuqinë llogaritëse të pajisjeve të komprometuara.
