A botnet de negação de serviço distribuída (DDoS) conhecida como Muhstik foi observado aproveitando uma falha de segurança agora corrigida que afeta o Apache RocketMQ para cooptar servidores suscetíveis e expandir sua escala.
“Muhstik é uma ameaça bem conhecida que visa dispositivos IoT e servidores baseados em Linux, notório por sua capacidade de infectar dispositivos e utilizá-los para mineração de criptomoedas e lançar ataques distribuídos de negação de serviço (DDoS)”, disse a empresa de segurança em nuvem Aqua em um relatório publicado esta semana.
Documentadas pela primeira vez em 2018, as campanhas de ataque envolvendo malware têm um histórico de exploração de falhas de segurança conhecidas, especificamente aquelas relacionadas a aplicativos da internet, para propagação.
A última adição à lista de vulnerabilidades exploradas é CVE-2023-33246 (pontuação CVSS: 9,8), uma falha crítica de segurança que afeta o Apache RocketMQ e permite que um invasor remoto e não autenticado execute execução remota de código forjando o conteúdo do protocolo RocketMQ ou usando o função de configuração de atualização.
Depois que a falha é abusada com sucesso para obter acesso inicial, o agente da ameaça executa um script de shell hospedado em um endereço IP remoto, que é então responsável por recuperar o binário Muhstik (“pty3”) de outro servidor.
“Depois de obter a capacidade de fazer add da carga maliciosa explorando a vulnerabilidade RocketMQ, o invasor é capaz de executar seu código malicioso, que baixa o malware Muhstik”, disse o pesquisador de segurança Nitzan Yaakov.
A persistência no host é obtida copiando o binário do malware para vários diretórios e editando o arquivo /and so forth/inittab – que controla quais processos iniciar durante a inicialização de um servidor Linux – para reiniciar automaticamente o processo.
Além do mais, a nomeação do binário como “pty3” é provavelmente uma tentativa de se disfarçar como um pseudoterminal (“pty”) e evitar a detecção. Outra técnica de evasão é que o malware seja copiado para diretórios como /dev/shm, /var/tmp, /run/lock e /run durante a fase de persistência, o que permite que ele seja executado diretamente da memória e evite deixar rastros. o sistema.
Muhstik vem equipado com recursos para coletar metadados do sistema, mover lateralmente para outros dispositivos através de um shell seguro (SSH) e, por fim, estabelecer contato com um domínio de comando e controle (C2) para receber instruções adicionais usando o Web Relay Chat (IRC) protocolo.
O objetivo ultimate do malware é transformar os dispositivos comprometidos em armas para realizar diferentes tipos de ataques de inundação contra alvos de interesse, sobrecarregando efetivamente os recursos da rede e desencadeando uma condição de negação de serviço.
Com 5.216 instâncias vulneráveis do Apache RocketMQ ainda expostas à Web após mais de um ano de divulgação pública da falha, é essencial que as organizações tomem medidas para atualizar para a versão mais recente, a fim de mitigar ameaças potenciais.
“Além disso, em campanhas anteriores, a atividade de criptomineração foi detectada após a execução do malware Muhstik”, disse Yaakov. “Esses objetivos andam de mãos dadas, à medida que os invasores se esforçam para espalhar e infectar mais máquinas, o que os ajuda em sua missão de extrair mais criptomoedas usando a energia elétrica das máquinas comprometidas”.
A divulgação ocorre no momento em que o AhnLab Safety Intelligence Middle (ASEC) revela que servidores MS-SQL mal protegidos estão sendo alvo de vários tipos de malware por agentes de ameaças, desde ransomware e trojans de acesso remoto até Proxyware.
“Os administradores devem usar senhas difíceis de adivinhar para suas contas e alterá-las periodicamente para proteger o servidor de banco de dados contra ataques de força bruta e ataques de dicionário”, disse ASEC. “Eles também devem aplicar os patches mais recentes para evitar ataques de vulnerabilidade”.
