Muhstik Malware
Muhstik-botnätet, ökänt för sina distribuerade DDoS-attacker (Denial-of-Service) har upptäckts utnyttja en nyligen korrigerad sårbarhet i Apache RocketMQ. Denna exploatering tillåter Muhstik att kapa sårbara servrar, vilket förbättrar nätverkets räckvidd och inverkan. Muhstik, ett långvarigt hot, är specialiserat på att rikta in sig på IoT-enheter (Internet-of-Things) och Linux-servrar. Det är ökänt för sin skicklighet i att infektera enheter, använda dem för brytning av kryptovalutor och orkestrera DDoS-angrepp.
Innehållsförteckning
Muhstik Botnet utnyttjar sårbarheter i programvara för att infektera enheter
Sedan den första dokumentationen 2018, har malware-drivna attackkampanjer konsekvent riktat in sig på kända säkerhetsbrister, särskilt de som finns i webbapplikationer.
Det senaste utnyttjandet som dykt upp är CVE-2023-33246, ett kritiskt fel som påverkar Apache RocketMQ. Denna sårbarhet gör att oautentiserade angripare på distans kan exekvera godtycklig kod genom att manipulera RocketMQ-protokollinnehåll eller utnyttja uppdateringskonfigurationsfunktionen.
Efter att ha utnyttjat denna sårbarhet för att få första åtkomst, exekverar hotaktörer ett skalskript på en fjärransluten IP-adress. Detta skript är ansvarigt för att hämta Muhstik-binären ('pty3') från en separat server.
Undviker upptäckt för att leverera sin skadliga nyttolast
När angriparen väl utnyttjar RocketMQ-sårbarheten för att ladda upp sin skadliga nyttolast, får de möjlighet att köra sin skadliga kod, vilket leder till nedladdning av Muhstik malware.
För att bibehålla uthållighet på den komprometterade värden kopieras binären av skadlig programvara till olika kataloger och ändringar görs i filen /etc/inittab, som ansvarar för att hantera Linux-serverstartprocesser, vilket säkerställer att den osäkra processen startar om automatiskt.
Dessutom heter skadlig programvara binär "pty3" i ett försök att framstå som en pseudoterminal ("pty") och undvika upptäckt. En annan undanflyktstaktik innebär att kopiera skadlig programvara till kataloger som /dev/shm, /var/tmp, /run/lock och /run under persistens, vilket möjliggör direkt exekvering från minnet och förhindrar spår på systemet.
Angripare kan utnyttja de infekterade enheterna på många sätt
Muhstik är utrustad med möjligheter att samla in systemmetadata, flytta i sidled över enheter via Secure Shell (SSH) och upprätta kommunikation med en Command-and-Control (C2)-domän med hjälp av IRC-protokollet (Internet Relay Chat).
Det slutliga målet med denna skadliga programvara är att anlita komprometterade enheter i olika översvämningsattacker mot specifika mål, vilket effektivt översvämmer deras nätverksresurser och orsakar störningar av denial-of-service.
Trots mer än ett år sedan bristen offentliggjordes finns det fortfarande 5 216 fall av Apache RocketMQ exponerade på internet. Det är avgörande för organisationer att uppdatera till den senaste versionen för att mildra potentiella hot.
Dessutom har tidigare kampanjer visat kryptomineringsaktivitet som inträffar efter körning av skadlig programvara efter Muhstik. Dessa aktiviteter kompletterar varandra när angripare försöker sprida och infektera fler maskiner, och hjälper dem i deras strävanden att bryta kryptovaluta genom att utnyttja beräkningskraften hos komprometterade enheter.
