Malware muhstik
Se ha detectado que la botnet Muhstik, conocida por sus ataques distribuidos de denegación de servicio (DDoS), explota una vulnerabilidad parcheada recientemente en Apache RocketMQ. Este exploit permite a Muhstik secuestrar servidores vulnerables, mejorando el alcance y el impacto de su red. Muhstik, una amenaza de larga data, se especializa en atacar dispositivos IoT (Internet de las cosas) y servidores Linux. Es famoso por su habilidad para infectar dispositivos, utilizarlos para extraer criptomonedas y orquestar ataques DDoS.
Tabla de contenido
La botnet Muhstik aprovecha las vulnerabilidades del software para infectar dispositivos
Desde su primera documentación en 2018, las campañas de ataques impulsadas por malware se han dirigido constantemente a vulnerabilidades de seguridad conocidas, en particular las que se encuentran en aplicaciones web.
El exploit más reciente que ha surgido es CVE-2023-33246, una falla crítica que afecta a Apache RocketMQ. Esta vulnerabilidad permite a atacantes remotos no autenticados ejecutar código arbitrario manipulando el contenido del protocolo RocketMQ o explotando la función de configuración de actualización.
Después de explotar esta vulnerabilidad para obtener acceso inicial, los actores de amenazas ejecutan un script de shell alojado en una dirección IP remota. Este script es responsable de recuperar el binario de Muhstik ('pty3') de un servidor independiente.
Evitar la detección para entregar su carga útil dañina
Una vez que el atacante explota la vulnerabilidad RocketMQ para cargar su carga dañina, obtiene la capacidad de ejecutar su código dañino, lo que lleva a la descarga del malware Muhstik.
Para mantener la persistencia en el host comprometido, el binario del malware se copia en varios directorios y se realizan modificaciones en el archivo /etc/inittab, responsable de administrar los procesos de arranque del servidor Linux, garantizando que el proceso inseguro se reinicie automáticamente.
Además, el binario del malware se denomina 'pty3' en un intento de aparecer como un pseudoterminal ("pty") y evadir la detección. Otra táctica de evasión consiste en copiar el malware a directorios como /dev/shm, /var/tmp, /run/lock y /run durante la persistencia, lo que permite la ejecución directa desde la memoria y evita rastros en el sistema.
Los atacantes pueden explotar los dispositivos infectados de numerosas maneras
Muhstik está equipado con capacidades para recopilar metadatos del sistema, moverse lateralmente entre dispositivos a través de Secure Shell (SSH) y establecer comunicación con un dominio de comando y control (C2) utilizando el protocolo Internet Relay Chat (IRC).
El objetivo final de este malware es reclutar dispositivos comprometidos en varios ataques de inundación contra objetivos específicos, inundando efectivamente sus recursos de red y provocando interrupciones de denegación de servicio.
A pesar de más de un año desde la divulgación pública de la falla, todavía hay 5216 instancias de Apache RocketMQ expuestas en Internet. Es fundamental que las organizaciones actualicen a la última versión para mitigar posibles amenazas.
Además, campañas anteriores han mostrado que se produce actividad de criptominería después de la ejecución del malware Muhstik. Estas actividades se complementan entre sí a medida que los atacantes buscan proliferar e infectar más máquinas, ayudando en sus esfuerzos de minería de criptomonedas utilizando el poder computacional de los dispositivos comprometidos.
