Muhstik-Malware
Das Muhstik-Botnetz, das für seine Distributed-Denial-of-Service-Angriffe (DDoS) berüchtigt ist, wurde dabei beobachtet, wie es eine kürzlich gepatchte Schwachstelle in Apache RocketMQ ausnutzte. Dieser Exploit ermöglicht es Muhstik, anfällige Server zu kapern und so die Reichweite und Wirkung seines Netzwerks zu erhöhen. Muhstik, eine seit langem bestehende Bedrohung, ist auf IoT-Geräte (Internet of Things) und Linux-Server spezialisiert. Es ist berüchtigt für seine Fähigkeit, Geräte zu infizieren, sie für das Mining von Kryptowährungen zu nutzen und DDoS-Angriffe zu orchestrieren.
Inhaltsverzeichnis
Das Muhstik-Botnetz nutzt Software-Schwachstellen aus, um Geräte zu infizieren
Seit der ersten Dokumentation im Jahr 2018 zielen Malware-gesteuerte Angriffskampagnen konsequent auf bekannte Sicherheitslücken ab, insbesondere in Webanwendungen.
Der neueste Exploit ist CVE-2023-33246, ein kritischer Fehler, der Apache RocketMQ betrifft. Diese Sicherheitslücke ermöglicht entfernten, nicht authentifizierten Angreifern die Ausführung beliebigen Codes, indem sie den Inhalt des RocketMQ-Protokolls manipulieren oder die Funktion zur Aktualisierung der Konfiguration ausnutzen.
Nachdem sie diese Schwachstelle ausgenutzt haben, um sich ersten Zugriff zu verschaffen, führen die Angreifer ein Shell-Skript aus, das auf einer Remote-IP-Adresse gehostet wird. Dieses Skript ist dafür verantwortlich, die Muhstik-Binärdatei („pty3“) von einem separaten Server abzurufen.
Unerkannt bleiben und schädliche Nutzdaten ausliefern
Sobald der Angreifer die RocketMQ-Sicherheitslücke ausnutzt, um seine schädliche Nutzlast hochzuladen, kann er seinen schädlichen Code ausführen, was zum Download der Muhstik-Malware führt.
Um die Persistenz auf dem angegriffenen Host aufrechtzuerhalten, wird die Binärdatei der Malware in verschiedene Verzeichnisse kopiert. Außerdem werden Änderungen an der Datei /etc/inittab vorgenommen, die für die Verwaltung der Startvorgänge des Linux-Servers zuständig ist. Dadurch wird sichergestellt, dass der unsichere Prozess automatisch neu gestartet wird.
Darüber hinaus wird die Malware-Binärdatei „pty3“ genannt, um als Pseudoterminal („pty“) zu erscheinen und so der Erkennung zu entgehen. Eine weitere Umgehungstaktik besteht darin, die Malware während der Persistenz in Verzeichnisse wie /dev/shm, /var/tmp, /run/lock und /run zu kopieren, um eine direkte Ausführung aus dem Speicher zu ermöglichen und Spuren auf dem System zu verhindern.
Angreifer können die infizierten Geräte auf zahlreiche Arten ausnutzen
Muhstik verfügt über Funktionen zum Sammeln von Systemmetadaten, zur seitlichen Bewegung zwischen Geräten über Secure Shell (SSH) und zur Herstellung einer Kommunikation mit einer Command-and-Control-Domäne (C2) unter Verwendung des Internet Relay Chat-Protokolls (IRC).
Das ultimative Ziel dieser Schadsoftware besteht darin, kompromittierte Geräte für verschiedene Flooding-Angriffe gegen bestimmte Ziele zu missbrauchen und so deren Netzwerkressourcen zu überlasten und Denial-of-Service-Störungen zu verursachen.
Obwohl der Fehler bereits mehr als ein Jahr alt ist, sind immer noch 5.216 Instanzen von Apache RocketMQ im Internet verfügbar. Um potenzielle Bedrohungen zu minimieren, ist es für Unternehmen von entscheidender Bedeutung, auf die neueste Version zu aktualisieren.
Darüber hinaus haben frühere Kampagnen gezeigt, dass nach der Ausführung der Muhstik-Malware Kryptomining-Aktivitäten stattfanden. Diese Aktivitäten ergänzen sich gegenseitig, da Angreifer versuchen, sich zu verbreiten und mehr Maschinen zu infizieren, indem sie die Rechenleistung kompromittierter Geräte nutzen, um ihre Kryptowährungs-Mining-Bemühungen zu unterstützen.
