A botnet de negação de serviço distribuído (DDoS) conhecida como Muhstik tem sido observada explorando uma falha de segurança corrigida que afeta o Apache RocketMQ para cooptar servidores suscetíveis e expandir sua escala.
"Muhstik é uma ameaça bem conhecida que visa dispositivos IoT e servidores baseados em Linux, notória por sua capacidade de infectar dispositivos e utilizá-los para mineração de criptomoedas e lançar ataques de negação de serviço distribuído (DDoS)," disse a empresa de segurança na nuvem Aqua em um relatório publicado esta semana.
Primeiramente documentado em 2018, campanhas de ataque envolvendo o malware têm um histórico de exploração de falhas de segurança conhecidas, especificamente aquelas relacionadas a aplicações web, para propagação.
A adição mais recente à lista de vulnerabilidades exploradas é a
CVE-2023-33246
(pontuação CVSS: 9.8), uma falha de segurança crítica que afeta o Apache RocketMQ e permite que um atacante remoto e não autenticado realize execução de código remoto ao forjar o conteúdo do protocolo RocketMQ ou usando a função de atualização de configuração.
Uma vez que a falha seja explorada com sucesso para obter acesso inicial, o ator de ameaça procede para executar um script shell hospedado em um endereço IP remoto, que é então responsável por recuperar o binário Muhstik ("pty3") de outro servidor.
"Após obter a capacidade de fazer upload do payload malicioso explorando a vulnerabilidade do RocketMQ, o atacante consegue executar seu código malicioso, que baixa o malware Muhstik," disse o pesquisador de segurança Nitzan Yaakov.
A persistência no host é alcançada por meio da cópia do binário do malware para múltiplos diretórios e editando o arquivo /etc/inittab -- que controla quais processos iniciar durante a inicialização de um servidor Linux -- para reiniciar automaticamente o processo.
Além disso, nomear o binário como "pty3" provavelmente é uma tentativa de se passar por um pseudoterminal ("pty") e evadir detecção.
Outra técnica de evasão é que o malware é copiado para diretórios como /dev/shm, /var/tmp, /run/lock, e /run durante a fase de persistência, o que permite que seja executado diretamente da memória e evitar deixar rastros no sistema.
Muhstik vem equipado com recursos para coletar metadados do sistema, mover lateralmente para outros dispositivos através de um shell seguro (SSH), e, finalmente, estabelecer contato com um domínio de comando-e-controle (C2) para receber instruções adicionais usando o protocolo Internet Relay Chat (IRC).
O objetivo final do malware é armar os dispositivos comprometidos para realizar diferentes tipos de ataques de inundação contra alvos de interesse, efetivamente sobrecarregando seus recursos de rede e desencadeando uma condição de negação de serviço.
Com 5.216 instâncias vulneráveis do Apache RocketMQ ainda expostas à internet após mais de um ano da divulgação pública da falha, é essencial que as organizações tomem medidas para atualizar para a versão mais recente a fim de mitigar ameaças potenciais.
"Além disso, em campanhas anteriores, foi detectada atividade de criptomineração após a execução do malware Muhstik," disse Yaakov.
"Esses objetivos andam de mãos dadas, já que os atacantes se esforçam para espalhar e infectar mais máquinas, o que os ajuda em sua missão de minerar mais criptomoeda usando o poder elétrico das máquinas comprometidas." A revelação vem enquanto o AhnLab Security Intelligence Center (ASEC) revelou que servidores MS-SQL mal protegidos estão sendo alvos de atores de ameaças para vários tipos de malware, variando de ransomware e trojans de acesso remoto a proxyware.
"Os administradores devem usar senhas difíceis de adivinhar para suas contas e trocá-las periodicamente para proteger o servidor de banco de dados contra ataques de força bruta e ataques de dicionário," disse ASEC.
Eles também devem aplicar as últimas correções para prevenir ataques de vulnerabilidade.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...