Phần mềm độc hại Muhstik
Mạng botnet Muhstik, nổi tiếng với các cuộc tấn công từ chối dịch vụ (DDoS) phân tán, đã bị phát hiện đang khai thác lỗ hổng được vá gần đây trong Apache RocketMQ. Cách khai thác này cho phép Muhstik chiếm quyền điều khiển các máy chủ dễ bị tấn công, nâng cao phạm vi tiếp cận và tác động của mạng. Muhstik, một mối đe dọa lâu đời, chuyên nhắm mục tiêu vào các thiết bị IoT (Internet-of-Things) và máy chủ Linux. Nó nổi tiếng vì khả năng lây nhiễm thành thạo các thiết bị, sử dụng chúng để khai thác tiền điện tử và dàn dựng các cuộc tấn công DDoS.
Mục lục
Muhstik Botnet khai thác lỗ hổng phần mềm để lây nhiễm vào thiết bị
Kể từ tài liệu đầu tiên vào năm 2018, các chiến dịch tấn công do phần mềm độc hại điều khiển đã liên tục nhắm vào các lỗ hổng bảo mật đã biết, đặc biệt là các lỗ hổng được tìm thấy trong các ứng dụng Web.
Cách khai thác gần đây nhất xuất hiện là CVE-2023-33246, một lỗ hổng nghiêm trọng ảnh hưởng đến Apache RocketMQ. Lỗ hổng này cho phép kẻ tấn công từ xa, không được xác thực thực thi mã tùy ý bằng cách thao túng nội dung giao thức RocketMQ hoặc khai thác tính năng cấu hình cập nhật.
Sau khi khai thác lỗ hổng này để giành quyền truy cập ban đầu, kẻ tấn công thực thi tập lệnh shell được lưu trữ trên địa chỉ IP từ xa. Tập lệnh này chịu trách nhiệm tìm nạp tệp nhị phân Muhstik ('pty3') từ một máy chủ riêng.
Tránh bị phát hiện để cung cấp tải trọng có hại của nó
Sau khi kẻ tấn công khai thác lỗ hổng RocketMQ để tải tải trọng độc hại lên, chúng sẽ có khả năng thực thi mã độc hại, dẫn đến việc tải xuống phần mềm độc hại Muhstik.
Để duy trì sự tồn tại trên máy chủ bị xâm nhập, tệp nhị phân của phần mềm độc hại sẽ được sao chép vào nhiều thư mục khác nhau và các sửa đổi được thực hiện đối với tệp /etc/inittab, chịu trách nhiệm quản lý các quy trình khởi động máy chủ Linux, đảm bảo quy trình không an toàn sẽ tự động khởi động lại.
Hơn nữa, tệp nhị phân của phần mềm độc hại được đặt tên là 'pty3' nhằm cố gắng xuất hiện dưới dạng thiết bị đầu cuối giả ('pty') và trốn tránh sự phát hiện. Một chiến thuật lẩn tránh khác liên quan đến việc sao chép phần mềm độc hại vào các thư mục như /dev/shm, /var/tmp, /run/lock và /run trong quá trình tồn tại lâu dài, cho phép thực thi trực tiếp từ bộ nhớ và ngăn chặn dấu vết trên hệ thống.
Kẻ tấn công có thể khai thác các thiết bị bị nhiễm virus theo nhiều cách
Muhstik được trang bị khả năng thu thập siêu dữ liệu hệ thống, di chuyển ngang qua các thiết bị thông qua Secure Shell (SSH) và thiết lập liên lạc với miền Lệnh và Kiểm soát (C2) bằng giao thức Internet Relay Chat (IRC).
Mục đích cuối cùng của phần mềm độc hại này là lợi dụng các thiết bị bị xâm nhập trong các cuộc tấn công tràn ngập khác nhau nhằm vào các mục tiêu cụ thể, làm tràn tài nguyên mạng của chúng một cách hiệu quả và gây ra sự gián đoạn từ chối dịch vụ.
Mặc dù đã hơn một năm kể từ khi lỗ hổng được tiết lộ công khai nhưng vẫn có 5.216 trường hợp Apache RocketMQ bị lộ trên internet. Điều quan trọng là các tổ chức phải cập nhật lên phiên bản mới nhất để giảm thiểu các mối đe dọa tiềm ẩn.
Hơn nữa, các chiến dịch trước đây đã cho thấy hoạt động khai thác tiền điện tử xảy ra sau khi thực thi phần mềm độc hại Muhstik. Các hoạt động này bổ sung cho nhau khi những kẻ tấn công tìm cách phát triển và lây nhiễm nhiều máy hơn, hỗ trợ nỗ lực khai thác tiền điện tử của chúng bằng cách sử dụng sức mạnh tính toán của các thiết bị bị xâm nhập.
