Muhstik Botnet maakt gebruik van Apache RocketMQ-fout om DDoS-aanvallen uit te breiden

Het gedistribueerde Denial-of-Service (DDoS)-botnet, bekend als Muhstikke Er is waargenomen dat gebruik wordt gemaakt van een inmiddels gepatchte beveiligingsfout die gevolgen heeft voor Apache RocketMQ om gevoelige servers te coöpteren en de schaal ervan uit te breiden.

“Muhstik is een bekende bedreiging die zich richt op IoT-apparaten en op Linux gebaseerde servers, berucht vanwege zijn vermogen om apparaten te infecteren en deze te gebruiken voor cryptocurrency-mining en het lanceren van Distributed Denial of Service (DDoS)-aanvallen”, zegt cloudbeveiligingsbedrijf Aqua in een rapport. deze week gepubliceerd.

Voor het eerst gedocumenteerd in 2018 hebben aanvalscampagnes waarbij de malware betrokken is, een geschiedenis van het misbruiken van bekende beveiligingsfouten, met name die met betrekking tot webapplicaties, voor verspreiding.

De nieuwste toevoeging aan de lijst met misbruikte kwetsbaarheden is CVE-2023-33246 (CVSS-score: 9,8), een kritieke beveiligingsfout die Apache RocketMQ treft en waarmee een externe en niet-geverifieerde aanvaller externe code kan uitvoeren door de inhoud van het RocketMQ-protocol te vervalsen of de configuratiefunctie bijwerken.

Zodra de tekortkoming met succes is misbruikt om initiële toegang te verkrijgen, gaat de bedreigingsacteur verder met het uitvoeren van een shellscript dat wordt gehost op een extern IP-adres, dat vervolgens verantwoordelijk is voor het ophalen van het Muhstik-binaire bestand (“pty3”) van een andere server.

“Nadat de aanvaller de mogelijkheid heeft gekregen om de kwaadaardige lading te uploaden door misbruik te maken van de RocketMQ-kwetsbaarheid, kan hij zijn kwaadaardige code uitvoeren, waardoor de Muhstik-malware wordt gedownload”, aldus beveiligingsonderzoeker Nitzan Yaakov.

Persistentie op de host wordt bereikt door het binaire bestand van de malware naar meerdere mappen te kopiëren en het bestand /etc/inittab te bewerken (dat bepaalt welke processen moeten worden gestart tijdens het opstarten van een Linux-server) om het proces automatisch opnieuw te starten.

Bovendien is de naamgeving van het binaire bestand als “pty3” waarschijnlijk een poging om zich voor te doen als een pseudoterminal (“pty”) en detectie te omzeilen. Een andere ontwijkingstechniek is dat de malware wordt gekopieerd naar mappen zoals /dev/shm, /var/tmp, /run/lock en /run tijdens de persistentiefase, waardoor de malware rechtstreeks vanuit het geheugen kan worden uitgevoerd en er geen sporen achterblijven op de computer. het systeem.

Muhstik is uitgerust met functies om systeemmetadata te verzamelen, lateraal naar andere apparaten te verplaatsen via een beveiligde shell (SSH) en uiteindelijk contact te leggen met een command-and-control (C2) domein om verdere instructies te ontvangen met behulp van de Internet Relay Chat (IRC) protocol.

Het uiteindelijke doel van de malware is om de aangetaste apparaten te bewapenen om verschillende soorten overstromingsaanvallen uit te voeren op interessante doelwitten, waardoor hun netwerkbronnen effectief worden overweldigd en een denial-of-service-situatie wordt geactiveerd.

Nu 5.216 kwetsbare exemplaren van Apache RocketMQ nog steeds blootgesteld zijn aan het internet na meer dan een jaar van publieke bekendmaking van de fout, is het essentieel dat organisaties stappen ondernemen om te updaten naar de nieuwste versie om potentiële bedreigingen te beperken.

“Bovendien werd in eerdere campagnes cryptomining-activiteit gedetecteerd na de uitvoering van de Muhstik-malware”, aldus Yaakov. “Deze doelstellingen gaan hand in hand, omdat de aanvallers ernaar streven meer machines te verspreiden en te infecteren, wat hen helpt bij hun missie om meer cryptocurrency te minen met behulp van de elektrische kracht van de gecompromitteerde machines.”

De onthulling komt op het moment dat het AhnLab Security Intelligence Center (ASEC) onthulde dat slecht beveiligde MS-SQL-servers het doelwit zijn van bedreigingsactoren voor verschillende soorten malware, variërend van ransomware en trojans voor externe toegang tot proxyware.

“Beheerders moeten wachtwoorden gebruiken die moeilijk te raden zijn voor hun accounts en deze periodiek wijzigen om de databaseserver te beschermen tegen brute-force-aanvallen en woordenboekaanvallen”, aldus ASEC. “Ze moeten ook de nieuwste patches toepassen om kwetsbaarheidsaanvallen te voorkomen.”

Thijs Van der Does