Se ha observado que la botnet de denegación de servicio distribuido (DDoS) conocida como Muhstik aprovecha una falla de seguridad ahora parcheada que afecta a Apache RocketMQ para cooptar servidores susceptibles y expandir su escala.
«Muhstik es una amenaza bien conocida dirigida a dispositivos IoT y servidores basados en Linux, conocida por su capacidad para infectar dispositivos y utilizarlos para minar criptomonedas y lanzar ataques de denegación de servicio distribuido (DDoS)», dijo la firma de seguridad en la nube Aqua en un informe. publicado esta semana.
Documentadas por primera vez en 2018, las campañas de ataque que involucran malware tienen un historial de explotación de fallas de seguridad conocidas, específicamente aquellas relacionadas con aplicaciones web, para su propagación.
La última incorporación a la lista de vulnerabilidades explotadas es CVE-2023-33246 (puntuación CVSS: 9,8), una falla de seguridad crítica que afecta a Apache RocketMQ y que permite a un atacante remoto y no autenticado realizar la ejecución remota de código falsificando el contenido del protocolo RocketMQ o utilizando el función de configuración de actualización.
Una vez que se abusa con éxito de la deficiencia para obtener acceso inicial, el actor de la amenaza procede a ejecutar un script de shell alojado en una dirección IP remota, que luego es responsable de recuperar el binario Muhstik («pty3») de otro servidor.
«Después de obtener la capacidad de cargar la carga maliciosa explotando la vulnerabilidad RocketMQ, el atacante puede ejecutar su código malicioso, que descarga el malware Muhstik», dijo el investigador de seguridad Nitzan Yaakov.
La persistencia en el host se logra copiando el binario del malware en múltiples directorios y editando el archivo /etc/inittab, que controla qué procesos iniciar durante el arranque de un servidor Linux, para reiniciar automáticamente el proceso.
Es más, nombrar el binario como «pty3″ es probablemente un intento de hacerse pasar por un pseudoterminal (» pty «) y evadir la detección. Otra técnica de evasión es que el malware se copia en directorios como /dev/shm, /var/tmp, /run/lock y /run durante la fase de persistencia, lo que permite ejecutarlo directamente desde la memoria y evitar dejar rastros en el sistema.
Muhstik viene equipado con funciones para recopilar metadatos del sistema, moverse lateralmente a otros dispositivos a través de un shell seguro (SSH) y, en última instancia, establecer contacto con un dominio de comando y control (C2) para recibir más instrucciones mediante Internet Relay Chat ( IRC ). protocolo.
El objetivo final del malware es convertir los dispositivos comprometidos en armas para realizar diferentes tipos de ataques de inundación contra objetivos de interés, abrumando efectivamente sus recursos de red y desencadenando una condición de denegación de servicio.
Con 5216 instancias vulnerables de Apache RocketMQ aún expuestas a Internet después de más de un año de divulgación pública de la falla, es esencial que las organizaciones tomen medidas para actualizar a la última versión a fin de mitigar posibles amenazas.
«Además, en campañas anteriores, se detectó actividad de criptominería después de la ejecución del malware Muhstik», dijo Yaakov. «Estos objetivos van de la mano, ya que los atacantes se esfuerzan por propagarse e infectar más máquinas, lo que les ayuda en su misión de extraer más criptomonedas utilizando la energía eléctrica de las máquinas comprometidas».
La divulgación se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló que los servidores MS-SQL mal protegidos están siendo atacados por actores de amenazas con varios tipos de malware, que van desde ransomware y troyanos de acceso remoto hasta Proxyware.
«Los administradores deben utilizar contraseñas que sean difíciles de adivinar para sus cuentas y cambiarlas periódicamente para proteger el servidor de la base de datos de ataques de fuerza bruta y ataques de diccionario», dijo ASEC . «También deben aplicar los últimos parches para prevenir ataques de vulnerabilidad».
Fuente y redacción: thehackernews.com
