Um botnet de negação de serviço distribuído (DDoS) conhecido como Muhstik foi observado aproveitando uma falha de segurança agora corrigida que impacta o Apache RocketMQ para cooptar servidores suscetíveis e expandir sua escala.
O Muhstik é uma ameaça bem conhecida que visa dispositivos IoT e servidores baseados em Linux, sendo notório por sua capacidade de infectar dispositivos e utilizá-los para mineração de criptomoedas e lançar ataques de negação de serviço distribuído (DDoS), diz a empresa de segurança em nuvem Aqua em um relatório publicado esta semana.
Documentadas pela primeira vez em 2018, as campanhas de ataque envolvendo o malware têm histórico de explorar falhas de segurança conhecidas, especificamente relacionadas a aplicações web, para propagação.
A mais recente adição à lista de vulnerabilidades exploradas é a CVE-2023-33246 (CVSS score: 9.8), uma falha crítica de segurança que afeta o Apache RocketMQ e permite a um atacante remoto e não autenticado executar código remoto ao forjar o conteúdo do protocolo ou usar a função de configuração de atualização.
Uma vez que a falha seja explorada com sucesso para obter o acesso inicial, o ator da ameaça procede à execução de um script de shell hospedado em um endereço IP remoto, que é então responsável por recuperar o binário do Muhstik (“pty3”) de outro servidor.
“Ao obter a capacidade de enviar a carga maliciosa explorando a vulnerabilidade do RocketMQ, o atacante é capaz de executar seu código malicioso, que baixa o malware Muhstik”, disse o pesquisador de segurança Nitzan Yaakov.
A persistência no host é alcançada por meio da cópia do binário do malware para vários diretórios e edição do arquivo /etc/inittab – que controla quais processos iniciar durante a inicialização de um servidor Linux – para reiniciar automaticamente o processo.
Além disso, a nomenclatura do binário como “pty3” é provavelmente uma tentativa de se disfarçar como um pseudoterminal (“pty”) e evitar a detecção. Outra técnica de evasão é que o malware é copiado para diretórios como /dev/shm, /var/tmp, /run/lock e /run durante a fase de persistência, o que permite que ele seja executado diretamente da memória e evite deixar rastros no sistema.
O Muhstik vem equipado com recursos para coletar metadados do sistema, mover-se lateralmente para outros dispositivos por meio de um shell seguro (SSH) e, finalmente, estabelecer contato com um domínio de comando e controle (C2) para receber mais instruções usando o protocolo Internet Relay Chat (IRC).
O objetivo final do malware é armar os dispositivos comprometidos para realizar diferentes tipos de ataques de inundação contra alvos de interesse, sobrecarregando efetivamente seus recursos de rede e desencadeando uma condição de negação de serviço.
Com 5.216 instâncias vulneráveis do Apache RocketMQ ainda expostas à internet após mais de um ano da divulgação pública da falha, é essencial que as organizações tomem medidas para atualizar para a versão mais recente a fim de mitigar ameaças potenciais.
“Além disso, em campanhas anteriores, atividades de mineração de criptomoedas foram detectadas após a execução do malware Muhstik”, disse Yaakov. “Esses objetivos estão de mãos dadas, já que os atacantes se esforçam para se espalhar e infectar mais máquinas, o que os ajuda em sua missão de minerar mais criptomoedas usando a energia elétrica das máquinas comprometidas.”
A divulgação vem após o AhnLab Security Intelligence Center (ASEC) revelar que servidores MS-SQL mal protegidos estão sendo alvo de atores maliciosos para vários tipos de malwares, que vão de ransomware e cavalos de troia de acesso remoto a softwares de proxy.
“Os administradores devem usar senhas difíceis de adivinhar para suas contas e alterá-las periodicamente para proteger o servidor de banco de dados contra ataques de força bruta e ataques de dicionário”, disse a ASEC. “Eles também devem aplicar as últimas correções para prevenir ataques de vulnerabilidades.”