Muhstik Kötü Amaçlı Yazılım
Dağıtılmış Hizmet Reddi (DDoS) saldırılarıyla ünlü Muhstik botnet'in, Apache RocketMQ'da yakın zamanda yamalanan bir güvenlik açığından yararlandığı tespit edildi. Bu istismar Muhstik'in savunmasız sunucuları ele geçirmesine ve ağının erişimini ve etkisini artırmasına olanak tanıyor. Uzun süredir devam eden bir tehdit olan Muhstik, IoT (Nesnelerin İnterneti) cihazlarını ve Linux sunucularını hedefleme konusunda uzmanlaşmıştır. Cihazlara virüs bulaştırma, bunları kripto para birimi madenciliği için kullanma ve DDoS saldırılarını düzenleme konusundaki ustalığıyla ünlüdür.
İçindekiler
Muhstik Botnet, Cihazlara Bulaşmak İçin Yazılımın Açıklarından Yararlanıyor
Kötü amaçlı yazılım odaklı saldırı kampanyaları, 2018'deki ilk belgelemesinden bu yana, özellikle Web uygulamalarında bulunanlar olmak üzere bilinen güvenlik açıklarını sürekli olarak hedef alıyor.
Ortaya çıkan en son istismar, Apache RocketMQ'yu etkileyen kritik bir kusur olan CVE-2023-33246'dır. Bu güvenlik açığı, uzak, kimliği doğrulanmamış saldırganların RocketMQ protokol içeriğini değiştirerek veya güncelleme yapılandırma özelliğini kullanarak rastgele kod yürütmesine olanak tanır.
Tehdit aktörleri, ilk erişim elde etmek için bu güvenlik açığından yararlandıktan sonra uzak bir IP adresinde barındırılan bir kabuk komut dosyasını çalıştırır. Bu komut dosyası Muhstik ikili dosyasının ('pty3') ayrı bir sunucudan getirilmesinden sorumludur.
Zararlı Yükünü Sağlamak İçin Tespitten Kaçınmak
Saldırgan, zararlı yükünü yüklemek için RocketMQ güvenlik açığından yararlandığında, zararlı kodlarını yürütme yeteneği kazanır ve bu da Muhstik kötü amaçlı yazılımının indirilmesine yol açar.
Güvenliği ihlal edilen ana bilgisayarda kalıcılığı sürdürmek için, kötü amaçlı yazılım ikili dosyası çeşitli dizinlere kopyalanır ve Linux sunucusu önyükleme işlemlerini yönetmekten sorumlu olan /etc/inittab dosyasında güvenli olmayan sürecin otomatik olarak yeniden başlatılmasını sağlayan değişiklikler yapılır.
Ayrıca, kötü amaçlı yazılım ikilisi, sahte terminal ("pty") olarak görünmek ve tespit edilmekten kaçınmak amacıyla 'pty3' olarak adlandırılmıştır. Başka bir kaçırma taktiği, kötü amaçlı yazılımın kalıcılık sırasında /dev/shm, /var/tmp, /run/lock ve /run gibi dizinlere kopyalanmasını, bellekten doğrudan yürütülmesini etkinleştirmeyi ve sistemdeki izleri önlemeyi içerir.
Saldırganlar Etkilenen Cihazlardan Çeşitli Yollarla Yararlanabilir
Muhstik, sistem meta verilerini toplama, Secure Shell (SSH) aracılığıyla cihazlar arasında yanal hareket etme ve Internet Relay Chat (IRC) protokolünü kullanarak Komuta ve Kontrol (C2) alanıyla iletişim kurma yetenekleriyle donatılmıştır.
Bu kötü amaçlı yazılımın nihai amacı, güvenliği ihlal edilmiş cihazları belirli hedeflere yönelik çeşitli saldırı saldırılarına dahil etmek, ağ kaynaklarını etkili bir şekilde sular altında bırakmak ve hizmet reddi kesintilerine neden olmaktır.
Kusurun kamuya açıklanmasının üzerinden bir yıldan fazla zaman geçmesine rağmen internette hala 5.216 Apache RocketMQ örneği bulunuyor. Potansiyel tehditleri azaltmak için kuruluşların en son sürüme güncelleme yapması çok önemlidir.
Ayrıca önceki kampanyalarda Muhstik kötü amaçlı yazılımın çalıştırılmasından sonra gerçekleşen kripto madencilik faaliyetleri gösterildi. Saldırganlar daha fazla makineyi çoğaltmaya ve etkilemeye çalışırken, bu faaliyetler birbirini tamamlıyor ve ele geçirilen cihazların hesaplama gücünden yararlanarak kripto para madenciliği çabalarına yardımcı oluyor.
