Muhstik 恶意软件

Muhstik 僵尸网络因其分布式拒绝服务 (DDoS) 攻击而臭名昭著，它被发现利用了 Apache RocketMQ 中最近修补的漏洞。此漏洞允许 Muhstik 劫持易受攻击的服务器，从而增强其网络的覆盖范围和影响力。Muhstik 是一个长期存在的威胁，专门针对物联网 (IoT) 设备和 Linux 服务器。它因擅长感染设备、利用它们进行加密货币挖掘以及策划 DDoS 攻击而臭名昭著。

Muhstik 僵尸网络利用软件漏洞感染设备

自 2018 年首次记录以来，恶意软件驱动的攻击活动一直针对已知的安全漏洞，特别是 Web 应用程序中的漏洞。

最新出现的漏洞是 CVE-2023-33246，这是影响 Apache RocketMQ 的一个严重漏洞。此漏洞使远程、未经身份验证的攻击者能够通过操纵 RocketMQ 协议内容或利用更新配置功能来执行任意代码。

利用此漏洞获得初始访问权限后，威胁行为者会执行托管在远程 IP 地址上的 shell 脚本。此脚本负责从单独的服务器获取 Muhstik 二进制文件（“pty3”）。

避免检测以传播有害载荷

一旦攻击者利用 RocketMQ 漏洞上传其有害负载，他们就获得执行其有害代码的能力，从而下载 Muhstik 恶意软件。

为了在受感染主机上保持持久性，恶意软件二进制文件被复制到各个目录，并对负责管理 Linux 服务器启动过程的 /etc/inittab 文件进行修改，确保不安全的过程自动重启。

此外，恶意软件二进制文件被命名为“pty3”，试图显示为伪终端（“pty”）并逃避检测。另一种逃避策略是在持久性期间将恶意软件复制到 /dev/shm、/var/tmp、/run/lock 和 /run 等目录，从而能够直接从内存执行并防止在系统上留下痕迹。

攻击者可能以多种方式利用受感染的设备

Muhstik 具有收集系统元数据、通过安全外壳 (SSH) 跨设备横向移动以及使用互联网中继聊天 (IRC) 协议与命令和控制 (C2) 域建立通信的功能。

该恶意软件的最终目的是利用受感染的设备针对特定目标发起各种洪水攻击，有效地淹没其网络资源并造成拒绝服务中断。

尽管该漏洞公开披露已有一年多时间，但互联网上仍有 5,216 个 Apache RocketMQ 实例暴露。对于组织而言，更新到最新版本以减轻潜在威胁至关重要。

此外，先前的活动表明，在 Muhstik 恶意软件执行后，会发生加密货币挖掘活动。这些活动相辅相成，因为攻击者试图扩散和感染更多机器，利用受感染设备的计算能力来协助他们的加密货币挖掘工作。