มัลแวร์ Muhstik

บ็อตเน็ต Muhstik ซึ่งมีชื่อเสียงในด้านการโจมตีแบบ Denial-of-Service (DDoS) แบบกระจาย ถูกตรวจพบว่าใช้ประโยชน์จากช่องโหว่ที่ได้รับแพตช์ล่าสุดใน Apache RocketMQ การหาประโยชน์นี้ทำให้ Muhstik สามารถขโมยเซิร์ฟเวอร์ที่มีช่องโหว่ ช่วยเพิ่มการเข้าถึงและผลกระทบของเครือข่าย Muhstik ซึ่งเป็นภัยคุกคามที่มีมายาวนาน เชี่ยวชาญในการกำหนดเป้าหมายอุปกรณ์ IoT (Internet-of-Things) และเซิร์ฟเวอร์ Linux เป็นเรื่องน่าอับอายสำหรับความสามารถในการแพร่เชื้ออุปกรณ์ การใช้ประโยชน์จากการขุด cryptocurrency และการจัดการการโจมตี DDoS

Muhstik Botnet ใช้ประโยชน์จากช่องโหว่ของซอฟต์แวร์เพื่อแพร่เชื้อไปยังอุปกรณ์

นับตั้งแต่เอกสารฉบับแรกในปี 2018 แคมเปญโจมตีที่ขับเคลื่อนด้วยมัลแวร์ได้กำหนดเป้าหมายช่องโหว่ด้านความปลอดภัยที่ทราบมาอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งที่พบในเว็บแอปพลิเคชัน

ช่องโหว่ล่าสุดที่จะเกิดขึ้นคือ CVE-2023-33246 ซึ่งเป็นข้อบกพร่องร้ายแรงที่ส่งผลกระทบต่อ Apache RocketMQ ช่องโหว่นี้ช่วยให้ผู้โจมตีจากระยะไกลและไม่ได้รับการรับรองความถูกต้องสามารถรันโค้ดที่กำหนดเองโดยจัดการเนื้อหาโปรโตคอล RocketMQ หรือใช้คุณสมบัติการกำหนดค่าการอัปเดต

หลังจากใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงเบื้องต้น ผู้คุกคามจะรันเชลล์สคริปต์ที่โฮสต์บนที่อยู่ IP ระยะไกล สคริปต์นี้มีหน้าที่ดึงข้อมูลไบนารี Muhstik ('pty3') จากเซิร์ฟเวอร์ที่แยกต่างหาก

การหลีกเลี่ยงการตรวจจับเพื่อส่งมอบน้ำหนักบรรทุกที่เป็นอันตราย

เมื่อผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ RocketMQ เพื่ออัปโหลดเพย์โหลดที่เป็นอันตราย พวกเขาจะได้รับความสามารถในการรันโค้ดที่เป็นอันตราย ซึ่งนำไปสู่การดาวน์โหลดมัลแวร์ Muhstik

เพื่อรักษาความคงอยู่บนโฮสต์ที่ถูกบุกรุก ไบนารีของมัลแวร์จะถูกคัดลอกไปยังไดเร็กทอรีต่างๆ และทำการแก้ไขไฟล์ /etc/inittab ซึ่งรับผิดชอบในการจัดการกระบวนการบูตเซิร์ฟเวอร์ Linux เพื่อให้แน่ใจว่ากระบวนการที่ไม่ปลอดภัยจะรีสตาร์ทโดยอัตโนมัติ

นอกจากนี้ ไบนารี่ของมัลแวร์ยังมีชื่อว่า 'pty3' เพื่อพยายามให้ปรากฏเป็นเทอร์มินัลเทียม ('pty') และหลบเลี่ยงการตรวจจับ กลยุทธ์การหลีกเลี่ยงอีกประการหนึ่งเกี่ยวข้องกับการคัดลอกมัลแวร์ไปยังไดเร็กทอรีเช่น /dev/shm, /var/tmp, /run/lock และ /run ในระหว่างที่ยังคงอยู่ ทำให้สามารถดำเนินการได้โดยตรงจากหน่วยความจำและป้องกันการติดตามบนระบบ

ผู้โจมตีอาจใช้ประโยชน์จากอุปกรณ์ที่ติดไวรัสได้หลายวิธี

Muhstik มาพร้อมกับความสามารถในการรวบรวมข้อมูลเมตาของระบบ ย้ายข้ามอุปกรณ์ผ่าน Secure Shell (SSH) และสร้างการสื่อสารกับโดเมน Command-and-Control (C2) โดยใช้โปรโตคอล Internet Relay Chat (IRC)

เป้าหมายสูงสุดของมัลแวร์นี้คือการนำอุปกรณ์ที่ถูกบุกรุกเข้าโจมตีเป้าหมายที่เฉพาะเจาะจง ทำให้ทรัพยากรเครือข่ายท่วมท้นอย่างมีประสิทธิภาพ และทำให้เกิดการหยุดชะงักในการปฏิเสธการให้บริการ

แม้จะใช้เวลานานกว่าหนึ่งปีแล้วนับตั้งแต่การเปิดเผยข้อบกพร่องต่อสาธารณะ แต่ยังคงมีอินสแตนซ์ของ Apache RocketMQ จำนวน 5,216 รายการที่ถูกเปิดเผยบนอินเทอร์เน็ต เป็นสิ่งสำคัญสำหรับองค์กรที่ต้องอัปเดตเป็นเวอร์ชันล่าสุดเพื่อลดภัยคุกคามที่อาจเกิดขึ้น

นอกจากนี้ แคมเปญก่อนหน้านี้ยังแสดงให้เห็นถึงกิจกรรมการขุด cryptomining ที่เกิดขึ้นหลังการใช้มัลแวร์ Muhstik กิจกรรมเหล่านี้เสริมซึ่งกันและกันในขณะที่ผู้โจมตีพยายามแพร่ขยายและทำให้เครื่องจักรติดไวรัสมากขึ้น โดยช่วยเหลือในความพยายามในการขุดสกุลเงินดิจิตอลโดยใช้พลังการคำนวณของอุปกรณ์ที่ถูกบุกรุก