Шкідливе програмне забезпечення Muhstik
Ботнет Muhstik, сумно відомий своїми розподіленими атаками на відмову в обслуговуванні (DDoS), був помічений у використанні нещодавно виправленої вразливості в Apache RocketMQ. Цей експлойт дозволяє Muhstik захоплювати вразливі сервери, підвищуючи охоплення та вплив мережі. Muhstik, давня загроза, спеціалізується на пристроях IoT (Інтернет речей) і серверах Linux. Він сумно відомий своєю майстерністю в зараженні пристроїв, використанні їх для видобутку криптовалюти та організації DDoS-атак.
Зміст
Ботнет Muhstik використовує вразливості програмного забезпечення для зараження пристроїв
З моменту першої документації в 2018 році кампанії атак, керованих зловмисним програмним забезпеченням, постійно націлювалися на відомі вразливості системи безпеки, зокрема ті, що знаходяться у веб-додатках.
Найновішим експлойтом є CVE-2023-33246, критична вада, що впливає на Apache RocketMQ. Ця вразливість дозволяє віддаленим неавтентифікованим зловмисникам виконувати довільний код, маніпулюючи вмістом протоколу RocketMQ або використовуючи функцію оновлення конфігурації.
Після використання цієї вразливості для отримання початкового доступу зловмисники виконують сценарій оболонки, розміщений на віддаленій IP-адресі. Цей сценарій відповідає за отримання двійкового файлу Muhstik ('pty3') з окремого сервера.
Уникнення виявлення для доставки його шкідливого корисного навантаження
Коли зловмисник використовує вразливість RocketMQ для завантаження свого шкідливого корисного навантаження, він отримує можливість виконати свій шкідливий код, що призводить до завантаження шкідливого програмного забезпечення Muhstik.
Щоб підтримувати постійність на скомпрометованому хості, двійковий файл шкідливого програмного забезпечення копіюється в різні каталоги, а також вносяться зміни до файлу /etc/inittab, який відповідає за керування процесами завантаження сервера Linux, гарантуючи автоматичний перезапуск небезпечного процесу.
Крім того, двійковий файл зловмисного програмного забезпечення називається «pty3», намагаючись виглядати як псевдотермінал («pty») і уникнути виявлення. Інша тактика уникнення передбачає копіювання зловмисного програмного забезпечення до таких каталогів, як /dev/shm, /var/tmp, /run/lock та /run під час збереження, що дозволяє пряме виконання з пам’яті та запобігає слідам у системі.
Зловмисники можуть використовувати заражені пристрої багатьма способами
Muhstik оснащений можливостями для збору системних метаданих, переміщення між пристроями через Secure Shell (SSH) і встановлення зв’язку з доменом Command-and-Control (C2) за допомогою протоколу Internet Relay Chat (IRC).
Кінцевою метою цього зловмисного програмного забезпечення є залучення скомпрометованих пристроїв до різноманітних атак flooding проти конкретних цілей, фактично затоплення їхніх мережевих ресурсів і спричинення збоїв у зв’язку з відмовою в обслуговуванні.
Незважаючи на те, що минуло більше року з моменту публічного оприлюднення недоліку, в Інтернеті все ще є 5216 екземплярів Apache RocketMQ. Для організацій вкрай важливо оновити до останньої версії, щоб зменшити потенційні загрози.
Крім того, попередні кампанії показали, що активність криптомайнінгу відбувається після виконання зловмисного програмного забезпечення Muhstik. Ці дії доповнюють одна одну, оскільки зловмисники прагнуть розповсюдити та заразити більше машин, допомагаючи в їхніх зусиллях з майнінгу криптовалюти, використовуючи обчислювальну потужність скомпрометованих пристроїв.
