Мухстик Малваре
Мухстик ботнет, озлоглашен по дистрибуираним нападима ускраћивања услуге (ДДоС), примећен је како искоришћава недавно закрпљену рањивост у Апацхе РоцкетМК. Ова експлоатација омогућава Мухстику да отме рањиве сервере, повећавајући досег и утицај своје мреже. Мухстик, дугогодишња претња, специјализована је за циљање ИоТ (Интернет-оф-Тхингс) уређаја и Линук сервера. Злогласан је по својој вештини у инфицирању уређаја, њиховом коришћењу за рударење криптовалута и оркестрирању ДДоС напада.
Преглед садржаја
Ботнет Мухстик искориштава рањивости софтвера да би заразио уређаје
Од своје прве документације 2018. године, кампање напада вођене малвером су доследно циљале познате безбедносне пропусте, посебно оне које се налазе у веб апликацијама.
Најновија експлоатација која се појавила је ЦВЕ-2023-33246, критична грешка која утиче на Апацхе РоцкетМК. Ова рањивост омогућава удаљеним нападачима без аутентификације да изврше произвољан код манипулисањем садржајем РоцкетМК протокола или искоришћавањем функције конфигурације ажурирања.
Након што искористе ову рањивост за добијање почетног приступа, актери претњи извршавају схелл скрипту хостовану на удаљеној ИП адреси. Ова скрипта је одговорна за преузимање Мухстик бинарне датотеке ('пти3') са засебног сервера.
Избегавање откривања да би се испоручио штетни терет
Једном када нападач искористи рањивост РоцкетМК да отпреми свој штетни терет, добија могућност да изврши свој штетни код, што доводи до преузимања Мухстик малвера.
Да би се одржала постојаност на компромитованом хосту, бинарни програм злонамерног софтвера се копира у различите директоријуме, а модификације се врше у датотеци /етц/иниттаб, одговорној за управљање процесима покретања Линук сервера, обезбеђујући да се небезбедни процес аутоматски поново покреће.
Штавише, бинарни софтвер злонамерног софтвера је назван „пти3“ у покушају да се појави као псеудотерминал („пти“) и избегне откривање. Друга тактика избегавања укључује копирање малвера у директоријуме као што су /дев/схм, /вар/тмп, /рун/лоцк и /рун током упорности, омогућавајући директно извршавање из меморије и спречавајући трагове на систему.
Нападачи могу да искористе заражене уређаје на бројне начине
Мухстик је опремљен могућностима за прикупљање системских метаподатака, бочно кретање преко уређаја преко Сецуре Схелл (ССХ) и успостављање комуникације са Цомманд-анд-Цонтрол (Ц2) доменом користећи Интернет Релаи Цхат (ИРЦ) протокол.
Крајњи циљ овог злонамерног софтвера је да укључи компромитоване уређаје у разне нападе поплаве против одређених циљева, ефективно преплављујући њихове мрежне ресурсе и изазивајући поремећаје у вези са ускраћивањем услуге.
Упркос више од годину дана од јавног откривања грешке, на интернету је још увек изложено 5.216 инстанци Апацхе РоцкетМК. За организације је кључно да ажурирају на најновију верзију како би ублажиле потенцијалне претње.
Штавише, претходне кампање су показале активности криптоминирања које се дешавају након извршења злонамерног софтвера Мухстик. Ове активности се међусобно допуњују док нападачи настоје да прошире и заразе више машина, помажући у њиховим подухватима рударења криптовалута користећи рачунарску снагу компромитованих уређаја.
