Было замечено, что распределенная ботнет-сеть типа "отказ в обслуживании" (DDoS), известная как Muhstik, использует исправленную уязвимость в системе безопасности, влияющую на Apache RocketMQ, для кооптации уязвимых серверов и расширения своего масштаба.
"Muhstik - это хорошо известная угроза, нацеленная на устройства Интернета вещей и серверы на базе Linux, известная своей способностью заражать устройства и использовать их для майнинга криптовалюты и запуска распределенных атак типа "Отказ в обслуживании" (DDoS)", - говорится в отчете компании Aqua, занимающейся облачной безопасностью, опубликованном на этой неделе.
Впервые задокументированные в 2018 году, кампании атак с участием вредоносного ПО имеют историю использования известных недостатков безопасности, особенно тех, которые относятся к веб-приложениям, для распространения.
Последним дополнением к списку эксплуатируемых уязвимостей является CVE-2023-33246 (оценка CVSS: 9,8), критическая ошибка безопасности, затрагивающая Apache RocketMQ, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять удаленное выполнение кода путем подделки содержимого протокола RocketMQ или с помощью функции обновления конфигурации.
После успешного использования недостатка для получения начального доступа субъект угрозы приступает к выполнению сценария оболочки, размещенного на удаленном IP-адресе, который затем отвечает за получение двоичного файла Muhstik ("pty3") с другого сервера.
"Получив возможность загружать вредоносную полезную нагрузку, используя уязвимость RocketMQ, злоумышленник может выполнить свой вредоносный код, который загружает вредоносное ПО Muhstik", - сказал исследователь безопасности Ницан Яаков.
Сохранение вредоносного файла на хосте достигается путем копирования бинарного файла вредоносного ПО в несколько каталогов и редактирования файла /etc/inittab, который управляет тем, какие процессы запускать во время загрузки сервера Linux, для автоматического перезапуска процесса.
Более того, обозначение двоичного файла как "pty3", вероятно, является попыткой замаскироваться под псевдотерминал ("pty") и избежать обнаружения. Другой метод уклонения заключается в том, что вредоносная программа копируется в такие каталоги, как /dev / shm, /var /tmp, /run /lock и /run на этапе сохранения, что позволяет ей выполняться непосредственно из памяти и не оставлять следов в системе.
Muhstik оснащен функциями для сбора системных метаданных, последующего перемещения на другие устройства через защищенную оболочку (SSH) и, в конечном итоге, установления контакта с командно-контрольным доменом (C2) для получения дальнейших инструкций с использованием протокола Internet Relay Chat (IRC).
Конечная цель вредоносного ПО - использовать взломанные устройства для выполнения различных типов атак с затоплением интересующих объектов, эффективно подавляя их сетевые ресурсы и вызывая отказ в обслуживании.
Поскольку 5216 уязвимых экземпляров Apache RocketMQ по-прежнему доступны в Интернете после более чем года публичного раскрытия уязвимости, важно, чтобы организации предприняли шаги по обновлению до последней версии, чтобы смягчить потенциальные угрозы.
"Более того, в предыдущих кампаниях активность криптомайнинга была обнаружена после запуска вредоносного ПО Muhstik", - сказал Яаков. "Эти цели идут рука об руку, поскольку злоумышленники стремятся распространить и заразить больше машин, что помогает им в их миссии по добыче большего количества криптовалюты с использованием электроэнергии скомпрометированных машин".
Раскрытие происходит после того, как Центр анализа безопасности AhnLab (ASEC) обнаружил, что плохо защищенные серверы MS-SQL становятся мишенями различных типов вредоносных программ, начиная от программ-вымогателей и троянов удаленного доступа и заканчивая прокси-программами.
"Администраторы должны использовать пароли, которые трудно угадать для своих учетных записей, и периодически менять их, чтобы защитить сервер базы данных от атак методом перебора и по словарю", - сказал ASEC. "Они также должны применять последние исправления для предотвращения атак с уязвимостями".
"Muhstik - это хорошо известная угроза, нацеленная на устройства Интернета вещей и серверы на базе Linux, известная своей способностью заражать устройства и использовать их для майнинга криптовалюты и запуска распределенных атак типа "Отказ в обслуживании" (DDoS)", - говорится в отчете компании Aqua, занимающейся облачной безопасностью, опубликованном на этой неделе.
Впервые задокументированные в 2018 году, кампании атак с участием вредоносного ПО имеют историю использования известных недостатков безопасности, особенно тех, которые относятся к веб-приложениям, для распространения.
Последним дополнением к списку эксплуатируемых уязвимостей является CVE-2023-33246 (оценка CVSS: 9,8), критическая ошибка безопасности, затрагивающая Apache RocketMQ, которая позволяет удаленному злоумышленнику, не прошедшему проверку подлинности, выполнять удаленное выполнение кода путем подделки содержимого протокола RocketMQ или с помощью функции обновления конфигурации.
После успешного использования недостатка для получения начального доступа субъект угрозы приступает к выполнению сценария оболочки, размещенного на удаленном IP-адресе, который затем отвечает за получение двоичного файла Muhstik ("pty3") с другого сервера.
"Получив возможность загружать вредоносную полезную нагрузку, используя уязвимость RocketMQ, злоумышленник может выполнить свой вредоносный код, который загружает вредоносное ПО Muhstik", - сказал исследователь безопасности Ницан Яаков.
Сохранение вредоносного файла на хосте достигается путем копирования бинарного файла вредоносного ПО в несколько каталогов и редактирования файла /etc/inittab, который управляет тем, какие процессы запускать во время загрузки сервера Linux, для автоматического перезапуска процесса.
Более того, обозначение двоичного файла как "pty3", вероятно, является попыткой замаскироваться под псевдотерминал ("pty") и избежать обнаружения. Другой метод уклонения заключается в том, что вредоносная программа копируется в такие каталоги, как /dev / shm, /var /tmp, /run /lock и /run на этапе сохранения, что позволяет ей выполняться непосредственно из памяти и не оставлять следов в системе.
Muhstik оснащен функциями для сбора системных метаданных, последующего перемещения на другие устройства через защищенную оболочку (SSH) и, в конечном итоге, установления контакта с командно-контрольным доменом (C2) для получения дальнейших инструкций с использованием протокола Internet Relay Chat (IRC).
Конечная цель вредоносного ПО - использовать взломанные устройства для выполнения различных типов атак с затоплением интересующих объектов, эффективно подавляя их сетевые ресурсы и вызывая отказ в обслуживании.
Поскольку 5216 уязвимых экземпляров Apache RocketMQ по-прежнему доступны в Интернете после более чем года публичного раскрытия уязвимости, важно, чтобы организации предприняли шаги по обновлению до последней версии, чтобы смягчить потенциальные угрозы.
"Более того, в предыдущих кампаниях активность криптомайнинга была обнаружена после запуска вредоносного ПО Muhstik", - сказал Яаков. "Эти цели идут рука об руку, поскольку злоумышленники стремятся распространить и заразить больше машин, что помогает им в их миссии по добыче большего количества криптовалюты с использованием электроэнергии скомпрометированных машин".
Раскрытие происходит после того, как Центр анализа безопасности AhnLab (ASEC) обнаружил, что плохо защищенные серверы MS-SQL становятся мишенями различных типов вредоносных программ, начиная от программ-вымогателей и троянов удаленного доступа и заканчивая прокси-программами.
"Администраторы должны использовать пароли, которые трудно угадать для своих учетных записей, и периодически менять их, чтобы защитить сервер базы данных от атак методом перебора и по словарю", - сказал ASEC. "Они также должны применять последние исправления для предотвращения атак с уязвимостями".
