穆赫斯蒂克惡意軟體

Muhstik 殭屍網路因其分散式阻斷服務 (DDoS) 攻擊而臭名昭著，被發現利用 Apache RocketMQ 中最近修補的漏洞。此漏洞允許 Muhstik 劫持易受攻擊的伺服器，從而增強其網路的覆蓋範圍和影響力。 Muhstik 是一種長期的威脅，專門針對 IoT（物聯網）裝置和 Linux 伺服器。它因擅長感染設備、利用設備進行加密貨幣挖礦和策劃 DDoS 攻擊而臭名昭著。

Muhstik殭屍網路利用軟體漏洞感染設備

自 2018 年首次發布文件以來，惡意軟體驅動的攻擊活動一直針對已知的安全漏洞，特別是在 Web 應用程式中發現的漏洞。

最近出現的漏洞是 CVE-2023-33246，這是一個影響 Apache RocketMQ 的嚴重缺陷。該漏洞使得未經身份驗證的遠端攻擊者能夠透過操縱 RocketMQ 協定內容或利用更新配置功能來執行任意程式碼。

利用此漏洞取得初始存取權限後，威脅參與者會執行遠端 IP 位址上託管的 shell 腳本。該腳本負責從單獨的伺服器獲取 Muhstik 二進位（“pty3”）。

避免檢測以傳遞有害負載

一旦攻擊者利用 RocketMQ 漏洞上傳有害負載，他們就能夠執行有害程式碼，從而下載 Muhstik 惡意軟體。

為了保持受感染主機上的持久性，惡意軟體二進位檔案被複製到各個目錄，並對 /etc/inittab 檔案進行修改，負責管理 Linux 伺服器啟動進程，確保不安全進程自動重新啟動。

此外，惡意軟體二進位檔案被命名為“pty3”，試圖顯示為偽終端（“pty”）並逃避偵測。另一種規避策略是在持久性期間將惡意軟體複製到/dev/shm、/var/tmp、/run/lock 和/run 等目錄，從而能夠從記憶體中直接執行並防止在系統上留下痕跡。

攻擊者可以透過多種方式利用受感染的設備

Muhstik 具備收集系統元資料、透過 Secure Shell (SSH) 跨裝置橫向移動以及使用網際網路中繼聊天 (IRC) 協定與指令與控制 (C2) 網域建立通訊的功能。

該惡意軟體的最終目的是讓受感染的設備參與針對特定目標的各種洪水攻擊，有效地淹沒其網路資源並造成拒絕服務中斷。

儘管該漏洞公開披露已經一年多了，但網路上仍有 5,216 個 Apache RocketMQ 實例被揭露。對於組織來說，更新到最新版本以減輕潛在威脅至關重要。

此外，先前的活動已經顯示了 Muhstik 惡意軟體執行後發生的加密貨幣挖礦活動。這些活動相互補充，因為攻擊者試圖擴散和感染更多機器，透過利用受感染設備的運算能力來幫助他們的加密貨幣挖礦工作。