முஹ்ஸ்டிக் மால்வேர்
விநியோகிக்கப்பட்ட சேவை மறுப்பு (DDoS) தாக்குதல்களுக்குப் பெயர்போன Muhstik botnet, Apache RocketMQ இல் சமீபத்தில் பேட்ச் செய்யப்பட்ட பாதிப்பைப் பயன்படுத்துவதைக் கண்டறிந்துள்ளது. இந்தச் சுரண்டல் Muhstik ஐ பாதிக்கப்படக்கூடிய சேவையகங்களை கடத்த அனுமதிக்கிறது, அதன் நெட்வொர்க்கின் அணுகலையும் தாக்கத்தையும் அதிகரிக்கிறது. நீண்ட கால அச்சுறுத்தலான முஹ்ஸ்டிக், IoT (Internet-of-Things) சாதனங்கள் மற்றும் Linux சேவையகங்களை குறிவைப்பதில் நிபுணத்துவம் பெற்றது. சாதனங்களைப் பாதிப்பதில், கிரிப்டோகரன்சி சுரங்கத்திற்காக அவற்றைப் பயன்படுத்துவதிலும், DDoS தாக்குதல்களைத் திட்டமிடுவதிலும் அதன் திறமைக்கு இது பிரபலமற்றது.
பொருளடக்கம்
முஹ்ஸ்டிக் பாட்நெட் சாதனங்களை பாதிக்க மென்பொருள் பாதிப்புகளை பயன்படுத்துகிறது
2018 இல் அதன் முதல் ஆவணப்படுத்தலில் இருந்து, தீம்பொருளால் இயக்கப்படும் தாக்குதல் பிரச்சாரங்கள், குறிப்பாக இணையப் பயன்பாடுகளில் காணப்படும் பாதுகாப்பு பாதிப்புகளை தொடர்ந்து குறிவைத்து வருகின்றன.
மிக சமீபத்திய சுரண்டல் CVE-2023-33246 ஆகும், இது Apache RocketMQ ஐ பாதிக்கும் ஒரு முக்கியமான குறைபாடு ஆகும். RocketMQ நெறிமுறை உள்ளடக்கத்தைக் கையாள்வதன் மூலமோ அல்லது புதுப்பிப்பு உள்ளமைவு அம்சத்தைப் பயன்படுத்துவதன் மூலமோ தன்னிச்சையான குறியீட்டைச் செயல்படுத்த, தொலைநிலை, அங்கீகரிக்கப்படாத தாக்குதல் நடத்துபவர்களுக்கு இந்தப் பாதிப்பு உதவுகிறது.
ஆரம்ப அணுகலைப் பெற இந்த பாதிப்பைப் பயன்படுத்திய பிறகு, அச்சுறுத்தல் நடிகர்கள் தொலைநிலை ஐபி முகவரியில் ஹோஸ்ட் செய்யப்பட்ட ஷெல் ஸ்கிரிப்டை இயக்குகிறார்கள். இந்த ஸ்கிரிப்ட் ஒரு தனி சேவையகத்திலிருந்து முஹ்ஸ்டிக் பைனரியை ('pty3') பெறுவதற்கு பொறுப்பாகும்.
அதன் தீங்கு விளைவிக்கும் பேலோடை வழங்க கண்டறிதலைத் தவிர்த்தல்
தாக்குபவர், ராக்கெட்எம்க்யூ பாதிப்பை பயன்படுத்தி, அவர்களின் தீங்கு விளைவிக்கும் பேலோடைப் பதிவேற்றினால், அவர்கள் தங்கள் தீங்கு விளைவிக்கும் குறியீட்டை இயக்கும் திறனைப் பெறுகிறார்கள், இது முஹ்ஸ்டிக் தீம்பொருளைப் பதிவிறக்குவதற்கு வழிவகுக்கும்.
சமரசம் செய்யப்பட்ட ஹோஸ்டில் தொடர்ந்து நிலைத்திருக்க, மால்வேர் பைனரி பல்வேறு கோப்பகங்களுக்கு நகலெடுக்கப்படுகிறது, மேலும் /etc/inittab கோப்பில் மாற்றங்கள் செய்யப்படுகின்றன, இது Linux சர்வர் துவக்க செயல்முறைகளை நிர்வகிப்பதற்கு பொறுப்பாகும், பாதுகாப்பற்ற செயல்முறை தானாகவே மறுதொடக்கம் செய்யப்படுவதை உறுதி செய்கிறது.
மேலும், மால்வேர் பைனரிக்கு 'pty3' என்று பெயரிடப்பட்டது, இது ஒரு சூடோடெர்மினலாக ('pty') தோன்றி கண்டறிதலைத் தவிர்க்கும் முயற்சியில் உள்ளது. மற்றொரு ஏய்ப்பு தந்திரம் தீம்பொருளை /dev/shm, /var/tmp, /run/lock, மற்றும் /run போன்ற கோப்பகங்களுக்கு நகலெடுப்பதை உள்ளடக்குகிறது, நினைவகத்திலிருந்து நேரடியாக செயல்படுத்துவதை செயல்படுத்துகிறது மற்றும் கணினியில் தடயங்களைத் தடுக்கிறது.
தாக்குபவர்கள் பாதிக்கப்பட்ட சாதனங்களை பல வழிகளில் பயன்படுத்திக் கொள்ளலாம்
சிஸ்டம் மெட்டாடேட்டாவை சேகரிக்கவும், செக்யூர் ஷெல் (SSH) வழியாக சாதனங்கள் முழுவதும் பக்கவாட்டாக நகர்த்தவும், இன்டர்நெட் ரிலே சாட் (IRC) நெறிமுறையைப் பயன்படுத்தி கட்டளை மற்றும் கட்டுப்பாடு (C2) டொமைனுடன் தொடர்பை ஏற்படுத்தவும் Muhstik திறன்களைக் கொண்டுள்ளது.
இந்த தீம்பொருளின் இறுதி நோக்கம், குறிப்பிட்ட இலக்குகளுக்கு எதிரான பல்வேறு வெள்ள தாக்குதல்களில் சமரசம் செய்யப்பட்ட சாதனங்களைப் பட்டியலிடுவது, அவற்றின் நெட்வொர்க் வளங்களை திறம்பட மூழ்கடித்து, சேவை மறுப்பு இடையூறுகளை ஏற்படுத்துவதாகும்.
ஒரு வருடத்திற்கும் மேலாக இந்த குறைபாட்டை பகிரங்கமாக வெளிப்படுத்திய போதிலும், இன்னும் 5,216 Apache RocketMQ இன் நிகழ்வுகள் இணையத்தில் அம்பலப்படுத்தப்பட்டுள்ளன. சாத்தியமான அச்சுறுத்தல்களைத் தணிக்க நிறுவனங்கள் சமீபத்திய பதிப்பிற்குப் புதுப்பித்துக்கொள்வது முக்கியம்.
மேலும், முந்தைய பிரச்சாரங்கள் முஹ்ஸ்டிக் மால்வேர் செயல்பாட்டிற்குப் பிந்தைய கிரிப்டோமைனிங் செயல்பாட்டைக் காட்டியுள்ளன. சமரசம் செய்யப்பட்ட சாதனங்களின் கணக்கீட்டு சக்தியைப் பயன்படுத்தி, அவர்களின் கிரிப்டோகரன்சி சுரங்க முயற்சிகளுக்கு உதவுவதன் மூலம், தாக்குதல் நடத்துபவர்கள் அதிக இயந்திரங்களைப் பெருக்கி, பாதிப்படைய முற்படுவதால், இந்தச் செயல்பாடுகள் ஒன்றையொன்று பூர்த்தி செய்கின்றன.
