Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Muhstik Botnet explota la falla de Apache RocketMQ para expandir los ataques DDoS
  • Tecnología

Muhstik Botnet explota la falla de Apache RocketMQ para expandir los ataques DDoS

teknomers 14 de Haziran de 2024 (Last updated: 14 de Haziran de 2024) 5 minutes read
Muhstik Botnet explota la falla de Apache RocketMQ para expandir


06 de junio de 2024Sala de redacciónAtaque de botnet/DDoS

  • botnet muhstik explota una falla crítica de Apache RocketMQ (CVE-2023-33246) para ejecución remota de códigodirigido a servidores Linux y dispositivos IoT para Ataques DDoS y minería de criptomonedas.
  • La infección implica ejecutar un script de shell desde una IP remota, descargar el Binario de malware Muhstik (“pty3”)y garantizar la persistencia copiando a múltiples directorios y editando archivos del sistema.
  • Con más de 5.000 instancias vulnerables de Apache RocketMQ todavía expuesto, las organizaciones deben actualizar a la última versión para mitigar los riesgos, al mismo tiempo que protege los servidores MS-SQL contra ataques de fuerza bruta y garantiza cambios regulares de contraseña.

La botnet distribuida de denegación de servicio (DDoS) conocida como muhstik Se ha observado que aprovecha una falla de seguridad ahora parcheada que afecta a Apache RocketMQ para cooptar servidores susceptibles y expandir su escala.

“Muhstik es una amenaza bien conocida dirigida a dispositivos IoT y servidores basados ​​en Linux, conocida por su capacidad para infectar dispositivos y utilizarlos para la extracción de criptomonedas y lanzar ataques de denegación de servicio distribuido (DDoS)”, dijo la empresa de seguridad en la nube Aqua. dicho en un informe publicado esta semana.

Documentadas por primera vez en 2018, las campañas de ataque que involucran malware tienen un historial de explotación de fallas de seguridad conocidas, específicamente aquellas relacionadas con aplicaciones web, para su propagación.

La última incorporación a la lista de vulnerabilidades explotadas es CVE-2023-33246 (puntuación CVSS: 9,8), una falla de seguridad crítica que afecta a Apache RocketMQ y que permite a un atacante remoto y no autenticado realizar la ejecución remota de código falsificando el contenido del protocolo RocketMQ o utilizando la función de configuración de actualización.

La seguridad cibernética

Una vez que se abusa con éxito de la deficiencia para obtener acceso inicial, el actor de la amenaza procede a ejecutar un script de shell alojado en una dirección IP remota, que luego es responsable de recuperar el binario Muhstik (“pty3”) de otro servidor.

“Después de obtener la capacidad de cargar la carga maliciosa explotando la vulnerabilidad RocketMQ, el atacante puede ejecutar su código malicioso, que descarga el malware Muhstik”, dijo el investigador de seguridad Nitzan Yaakov.

La persistencia en el host se logra copiando el binario del malware en múltiples directorios y editando el archivo /etc/inittab, que controla qué procesos iniciar durante el arranque de un servidor Linux, para reiniciar automáticamente el proceso.

Es más, nombrar el binario como “pty3” es probablemente un intento de hacerse pasar por un pseudoterminal (“pty“) y evadir la detección. Otra técnica de evasión es que el malware se copia a directorios como /dev/shm, /var/tmp, /run/lock y /run durante la fase de persistencia, lo que permite ejecutarlo directamente desde memoria y evitar dejar rastros en el sistema.

Muhstik viene equipado con funciones para recopilar metadatos del sistema, moverse lateralmente a otros dispositivos a través de un shell seguro (SSH) y, en última instancia, establecer contacto con un dominio de comando y control (C2) para recibir más instrucciones mediante Internet Relay Chat (IRC) protocolo.

El objetivo final del malware es convertir los dispositivos comprometidos en armas para realizar diferentes tipos de ataques de inundación contra objetivos de interés, abrumando efectivamente sus recursos de red y desencadenando una condición de denegación de servicio.

Con 5216 instancias vulnerables de Apache RocketMQ aún expuestas a Internet después de más de un año de divulgación pública de la falla, es esencial que las organizaciones tomen medidas para actualizar a la última versión a fin de mitigar posibles amenazas.

La seguridad cibernética

“Además, en campañas anteriores, se detectó actividad de criptominería después de la ejecución del malware Muhstik”, dijo Yaakov. “Estos objetivos van de la mano, ya que los atacantes se esfuerzan por propagarse e infectar más máquinas, lo que les ayuda en su misión de extraer más criptomonedas utilizando la energía eléctrica de las máquinas comprometidas”.

La divulgación se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) reveló que los actores de amenazas están atacando servidores MS-SQL mal protegidos con varios tipos de malware, que van desde ransomware y troyanos de acceso remoto hasta proxyware.

“Los administradores deben utilizar contraseñas difíciles de adivinar para sus cuentas y cambiarlas periódicamente para proteger el servidor de la base de datos de ataques de fuerza bruta y ataques de diccionario”, ASEC dicho. “También deben aplicar los últimos parches para prevenir ataques de vulnerabilidad”.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Shakira habla de separación de Gerard Piqué: “Sentí como si alguien me hubiera hecho un agujero en el pecho”
Next: La Fundación Museo TT llegó muy lejos, pero aún así se estrelló en la gravilla en la última curva. ‘La gente en la calle nos daba nueva energía cada vez’

Related Stories

Francia construirá 11 parques eólicos en alta mar, gracias a
  • Tecnología

Francia construirá 11 parques eólicos en alta mar, gracias a una ayuda gigantesca de Europa

teknomers 13 de Temmuz de 2026
Piratas probaron millones de contraseñas en Microsoft Entra ID sin
  • Tecnología

Piratas probaron millones de contraseñas en Microsoft Entra ID sin ser detectados

teknomers 13 de Temmuz de 2026
Climatización: ¿y si 26 °C ya no es la mejor
  • Tecnología

Climatización: ¿y si 26 °C ya no es la mejor opción durante una ola de calor?

teknomers 13 de Temmuz de 2026

You May Have Missed

  • Deporte

Confirmada la tentativa de récord mundial de milla de Josh Kerr para el encuentro de Londres

teknomers 13 de Temmuz de 2026
  • General

¿Quién podría reemplazar a Lindsey Graham? Los próximos pasos de Carolina del Sur tras la muerte del senador

teknomers 13 de Temmuz de 2026
  • General

Epidemia de Ébola: un nuevo paciente americano tratado en Alemania

teknomers 13 de Temmuz de 2026
  • Finanzas

« Cuanto más pasa el tiempo, más parece ineludible »: frente al déficit, ¿será necesario un presupuesto rectificativo?

teknomers 13 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.