Muhstik Malware
Ang Muhstik botnet, na kilalang-kilala sa mga distributed Denial-of-Service (DDoS) na pag-atake nito, ay nakitang nagsasamantala sa kamakailang na-patch na kahinaan sa Apache RocketMQ. Ang pagsasamantalang ito ay nagbibigay-daan sa Muhstik na i-hijack ang mga mahihinang server, na nagpapahusay sa abot at epekto ng network nito. Ang Muhstik, isang matagal nang banta, ay dalubhasa sa pag-target ng mga IoT (Internet-of-Things) na device at Linux server. Ito ay kasumpa-sumpa dahil sa kahusayan nito sa pag-infect ng mga device, paggamit ng mga ito para sa pagmimina ng cryptocurrency, at pagsasaayos ng mga pag-atake ng DDoS.
Talaan ng mga Nilalaman
Sinasamantala ng Muhstik Botnet ang Mga Kahinaan sa Software upang Makahawa ng Mga Device
Mula noong unang dokumentasyon nito noong 2018, ang mga kampanyang pag-atake na hinimok ng malware ay patuloy na nagta-target ng mga kilalang kahinaan sa seguridad, lalo na ang mga makikita sa mga Web application.
Ang pinakahuling pagsasamantalang lumabas ay ang CVE-2023-33246, isang kritikal na depekto na nakakaapekto sa Apache RocketMQ. Ang kahinaan na ito ay nagbibigay-daan sa malalayo, hindi napatotohanan na mga umaatake na magsagawa ng arbitrary code sa pamamagitan ng pagmamanipula sa nilalaman ng protocol ng RocketMQ o pagsasamantala sa tampok na pagsasaayos ng update.
Pagkatapos pagsamantalahan ang kahinaang ito upang makakuha ng paunang pag-access, ang mga aktor ng pagbabanta ay nagsasagawa ng script ng shell na naka-host sa isang malayong IP address. Ang script na ito ay responsable para sa pagkuha ng Muhstik binary ('pty3') mula sa isang hiwalay na server.
Pag-iwas sa Detection para Maihatid ang Nakakapinsalang Payload Nito
Sa sandaling sinamantala ng umaatake ang kahinaan ng RocketMQ upang i-upload ang kanilang mapaminsalang payload, magkakaroon sila ng kakayahang isagawa ang kanilang mapaminsalang code, na humahantong sa pag-download ng Muhstik malware.
Upang mapanatili ang pagpupursige sa nakompromisong host, kinokopya ang binary ng malware sa iba't ibang mga direktoryo, at ginagawa ang mga pagbabago sa /etc/inittab file, na responsable sa pamamahala sa mga proseso ng boot ng server ng Linux, na tinitiyak na awtomatikong magre-restart ang hindi ligtas na proseso.
Bukod dito, ang binary ng malware ay pinangalanang 'pty3' sa pagtatangkang lumitaw bilang isang pseudoterminal ('pty') at umiwas sa pagtuklas. Ang isa pang taktika sa pag-iwas ay kinabibilangan ng pagkopya ng malware sa mga direktoryo tulad ng /dev/shm, /var/tmp, /run/lock, at /run sa panahon ng pagtitiyaga, pagpapagana ng direktang pagpapatupad mula sa memorya at pagpigil sa mga bakas sa system.
Maaaring Samantalahin ng mga Attacker ang Mga Infected na Device sa Maraming Paraan
Ang Muhstik ay nilagyan ng mga kakayahan upang mangalap ng metadata ng system, lumipat sa gilid sa mga device sa pamamagitan ng Secure Shell (SSH), at magtatag ng komunikasyon sa isang Command-and-Control (C2) na domain gamit ang Internet Relay Chat (IRC) protocol.
Ang pinakalayunin ng malware na ito ay isama ang mga nakompromisong device sa iba't ibang pag-atake sa pagbaha laban sa mga partikular na target, na epektibong binabaha ang mga mapagkukunan ng kanilang network at nagdudulot ng mga pagkaantala sa pagtanggi sa serbisyo.
Sa kabila ng higit sa isang taon mula nang ibunyag sa publiko ang kapintasan, mayroon pa ring 5,216 na pagkakataon ng Apache RocketMQ na nalantad sa internet. Napakahalaga para sa mga organisasyon na mag-update sa pinakabagong bersyon upang mabawasan ang mga potensyal na banta.
Higit pa rito, ipinakita ng mga nakaraang kampanya ang aktibidad ng cryptomining na nagaganap pagkatapos ng pagpapatupad ng malware ng Muhstik. Ang mga aktibidad na ito ay nagpupuno sa isa't isa habang ang mga attacker ay naghahangad na dumami at makahawa ng higit pang mga makina, na tumutulong sa kanilang mga pagsisikap sa pagmimina ng cryptocurrency sa pamamagitan ng paggamit ng computational power ng mga nakompromisong device.
