Muhstik マルウェア
分散型サービス拒否 (DDoS) 攻撃で悪名高い Muhstik ボットネットが、最近修正された Apache RocketMQ の脆弱性を悪用しているのが発見されました。このエクスプロイトにより、Muhstik は脆弱なサーバーを乗っ取り、ネットワークの範囲と影響を拡大することができます。長年脅威となっている Muhstik は、IoT (モノのインターネット) デバイスと Linux サーバーをターゲットにすることを専門としています。デバイスを感染させ、それらを暗号通貨のマイニングに利用し、DDoS 攻撃を組織化する能力に長けていることで悪名高いです。
目次
Muhstik ボットネットはソフトウェアの脆弱性を悪用してデバイスに感染する
2018 年に初めて文書化されて以来、マルウェアによる攻撃キャンペーンは、特に Web アプリケーションに存在する既知のセキュリティ脆弱性を一貫して標的にしてきました。
最も最近出現したエクスプロイトは、Apache RocketMQ に影響を及ぼす重大な欠陥である CVE-2023-33246 です。この脆弱性により、認証されていないリモートの攻撃者が RocketMQ プロトコル コンテンツを操作したり、更新構成機能を悪用したりして、任意のコードを実行できるようになります。
この脆弱性を悪用して最初のアクセスを取得した後、脅威アクターはリモート IP アドレスでホストされているシェル スクリプトを実行します。このスクリプトは、別のサーバーから Muhstik バイナリ (「pty3」) を取得する役割を果たします。
検出を回避して有害なペイロードを配信
攻撃者が RocketMQ の脆弱性を悪用して有害なペイロードをアップロードすると、有害なコードを実行できるようになり、Muhstik マルウェアがダウンロードされることになります。
侵害されたホスト上での永続性を維持するために、マルウェア バイナリがさまざまなディレクトリにコピーされ、Linux サーバーのブート プロセスの管理を担当する /etc/inittab ファイルに変更が加えられ、安全でないプロセスが自動的に再起動されるようになります。
さらに、マルウェア バイナリは「pty3」という名前が付けられており、疑似端末 (「pty」) として表示され、検出を回避しようとしています。別の回避戦術として、マルウェアを永続的に /dev/shm、/var/tmp、/run/lock、/run などのディレクトリにコピーし、メモリから直接実行できるようにして、システム上の痕跡を防止します。
攻撃者は感染したデバイスをさまざまな方法で悪用する可能性があります
Muhstik には、システム メタデータを収集し、Secure Shell (SSH) を介してデバイス間で横方向に移動したり、インターネット リレー チャット (IRC) プロトコルを使用してコマンド アンド コントロール (C2) ドメインとの通信を確立したりする機能が備わっています。
このマルウェアの最終的な目的は、侵害されたデバイスを特定のターゲットに対するさまざまなフラッディング攻撃に巻き込み、ネットワーク リソースを事実上氾濫させてサービス拒否の混乱を引き起こすことです。
欠陥が公開されてから 1 年以上経過していますが、インターネット上には Apache RocketMQ のインスタンスが 5,216 件も公開されています。組織が潜在的な脅威を軽減するには、最新バージョンに更新することが重要です。
さらに、以前のキャンペーンでは、Muhstik マルウェアの実行後に暗号通貨マイニング活動が発生していることが示されています。攻撃者は、感染したデバイスの計算能力を利用して暗号通貨マイニング活動を支援しながら、より多くのマシンに感染して増殖しようとしており、これらの活動は相互に補完し合っています。
