Muhstik మాల్వేర్

పంపిణీ చేయబడిన డినియల్-ఆఫ్-సర్వీస్ (DDoS) దాడులకు అపఖ్యాతి పాలైన Muhstik బోట్‌నెట్, Apache RocketMQలో ఇటీవల పాచ్ చేయబడిన దుర్బలత్వాన్ని ఉపయోగించుకోవడం గుర్తించబడింది. ఈ దోపిడీ ముహ్స్టిక్‌ను హాని కలిగించే సర్వర్‌లను హైజాక్ చేయడానికి అనుమతిస్తుంది, దాని నెట్‌వర్క్ యొక్క పరిధిని మరియు ప్రభావాన్ని పెంచుతుంది. Muhstik, దీర్ఘకాల ముప్పు, IoT (ఇంటర్నెట్-ఆఫ్-థింగ్స్) పరికరాలు మరియు Linux సర్వర్‌లను లక్ష్యంగా చేసుకోవడంలో ప్రత్యేకత కలిగి ఉంది. పరికరాలను ఇన్‌ఫెక్ట్ చేయడం, వాటిని క్రిప్టోకరెన్సీ మైనింగ్ కోసం ఉపయోగించడం మరియు DDoS దాడులను నిర్వహించడంలో దాని నైపుణ్యానికి ఇది అపఖ్యాతి పాలైంది.

Muhstik Botnet పరికరాలను ఇన్ఫెక్ట్ చేయడానికి సాఫ్ట్‌వేర్ దుర్బలత్వాన్ని ఉపయోగించుకుంటుంది

2018లో దాని మొదటి డాక్యుమెంటేషన్ నుండి, మాల్వేర్-ఆధారిత దాడి ప్రచారాలు స్థిరంగా తెలిసిన భద్రతా లోపాలను లక్ష్యంగా చేసుకున్నాయి, ముఖ్యంగా వెబ్ అప్లికేషన్‌లలో కనుగొనబడినవి.

ఇటీవలి దోపిడీ CVE-2023-33246, ఇది Apache RocketMQని ప్రభావితం చేసే ఒక క్లిష్టమైన లోపం. ఈ దుర్బలత్వం RocketMQ ప్రోటోకాల్ కంటెంట్‌ను మార్చడం ద్వారా లేదా అప్‌డేట్ కాన్ఫిగరేషన్ ఫీచర్‌ను ఉపయోగించడం ద్వారా రిమోట్, ప్రమాణీకరించని దాడి చేసేవారిని ఏకపక్ష కోడ్‌ని అమలు చేయడానికి అనుమతిస్తుంది.

ప్రారంభ ప్రాప్యతను పొందడానికి ఈ దుర్బలత్వాన్ని ఉపయోగించుకున్న తర్వాత, బెదిరింపు నటులు రిమోట్ IP చిరునామాలో హోస్ట్ చేయబడిన షెల్ స్క్రిప్ట్‌ను అమలు చేస్తారు. ఈ స్క్రిప్ట్ ప్రత్యేక సర్వర్ నుండి Muhstik బైనరీ ('pty3') పొందేందుకు బాధ్యత వహిస్తుంది.

దాని హానికరమైన పేలోడ్‌ను బట్వాడా చేయడానికి గుర్తింపును నివారించడం

దాడి చేసే వ్యక్తి తమ హానికరమైన పేలోడ్‌ను అప్‌లోడ్ చేయడానికి RocketMQ దుర్బలత్వాన్ని ఉపయోగించుకున్న తర్వాత, వారు తమ హానికరమైన కోడ్‌ని అమలు చేయగల సామర్థ్యాన్ని పొందుతారు, ఇది ముహ్స్టిక్ మాల్వేర్ డౌన్‌లోడ్‌కు దారి తీస్తుంది.

రాజీపడిన హోస్ట్‌పై నిలకడను కొనసాగించడానికి, మాల్వేర్ బైనరీ వివిధ డైరెక్టరీలకు కాపీ చేయబడుతుంది మరియు Linux సర్వర్ బూట్ ప్రాసెస్‌లను నిర్వహించడానికి బాధ్యత వహించే /etc/inittab ఫైల్‌కు మార్పులు చేయబడతాయి, అసురక్షిత ప్రక్రియ స్వయంచాలకంగా పునఃప్రారంభించబడుతుంది.

అంతేకాకుండా, మాల్వేర్ బైనరీకి సూడోటెర్మినల్ ('pty') వలె కనిపించి, గుర్తించకుండా తప్పించుకునే ప్రయత్నంలో 'pty3' అని పేరు పెట్టారు. మరో ఎగవేత వ్యూహంలో మాల్వేర్‌ని /dev/shm, /var/tmp, /run/lock, మరియు /run వంటి డైరెక్టరీలకు కాపీ చేయడం, మెమొరీ నుండి డైరెక్ట్ ఎగ్జిక్యూషన్‌ని ఎనేబుల్ చేయడం మరియు సిస్టమ్‌లో ట్రేస్‌లను నిరోధించడం.

దాడి చేసేవారు అనేక మార్గాల్లో సోకిన పరికరాలను ఉపయోగించుకోవచ్చు

Muhstik సిస్టమ్ మెటాడేటాను సేకరించే సామర్థ్యాలను కలిగి ఉంది, సెక్యూర్ షెల్ (SSH) ద్వారా పరికరాలను అడ్డంగా తరలించడానికి మరియు ఇంటర్నెట్ రిలే చాట్ (IRC) ప్రోటోకాల్‌ని ఉపయోగించి కమాండ్-అండ్-కంట్రోల్ (C2) డొమైన్‌తో కమ్యూనికేషన్‌ను ఏర్పాటు చేస్తుంది.

ఈ మాల్వేర్ యొక్క అంతిమ లక్ష్యం నిర్దిష్ట లక్ష్యాలకు వ్యతిరేకంగా వివిధ వరదల దాడులలో రాజీపడిన పరికరాలను చేర్చడం, వారి నెట్‌వర్క్ వనరులను సమర్థవంతంగా ముంచెత్తడం మరియు సేవ తిరస్కరణకు అంతరాయం కలిగించడం.

లోపాన్ని బహిరంగంగా బహిర్గతం చేసినప్పటి నుండి ఒక సంవత్సరం కంటే ఎక్కువ కాలం ఉన్నప్పటికీ, ఇప్పటికీ 5,216 Apache RocketMQ ఉదాహరణలు ఇంటర్నెట్‌లో బహిర్గతమయ్యాయి. సంభావ్య బెదిరింపులను తగ్గించడానికి సంస్థలు తాజా వెర్షన్‌కి అప్‌డేట్ చేయడం చాలా కీలకం.

ఇంకా, మునుపటి ప్రచారాలు ముహస్తిక్ మాల్వేర్ ఎగ్జిక్యూషన్ తర్వాత సంభవించే క్రిప్టోమైనింగ్ కార్యాచరణను చూపించాయి. రాజీపడిన పరికరాల యొక్క గణన శక్తిని ఉపయోగించడం ద్వారా వారి క్రిప్టోకరెన్సీ మైనింగ్ ప్రయత్నాలకు సహాయం చేస్తూ, దాడి చేసేవారు మరిన్ని మెషీన్‌లను విస్తరించడానికి మరియు ఇన్‌ఫెక్ట్ చేయడానికి ప్రయత్నిస్తున్నందున ఈ కార్యకలాపాలు ఒకదానికొకటి సంపూర్ణంగా ఉంటాయి.