{"id":1236887,"date":"2024-06-14T04:26:54","date_gmt":"2024-06-14T04:26:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/muhstik-botnet-explota-la-falla-de-apache-rocketmq-para-expandir-los-ataques-ddos\/"},"modified":"2024-06-14T04:26:58","modified_gmt":"2024-06-14T04:26:58","slug":"muhstik-botnet-explota-la-falla-de-apache-rocketmq-para-expandir-los-ataques-ddos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/muhstik-botnet-explota-la-falla-de-apache-rocketmq-para-expandir-los-ataques-ddos\/","title":{"rendered":"Muhstik Botnet explota la falla de Apache RocketMQ para expandir los ataques DDoS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Ataque de botnet\/DDoS<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Muhstik-Botnet-explota-la-falla-de-Apache-RocketMQ-para-expandir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<div class=\"news-summary\">\n<ul>\n<li><b>botnet muhstik<\/b> explota una falla cr\u00edtica de Apache RocketMQ (CVE-2023-33246) para <b>ejecuci\u00f3n remota de c\u00f3digo<\/b>dirigido a servidores Linux y dispositivos IoT para <b>Ataques DDoS y miner\u00eda de criptomonedas<\/b>.<\/li>\n<li>La infecci\u00f3n implica ejecutar un script de shell desde una IP remota, descargar el <b>Binario de malware Muhstik (&#8220;pty3&#8221;)<\/b>y garantizar la persistencia copiando a m\u00faltiples directorios y editando archivos del sistema.<\/li>\n<li>Con m\u00e1s de <b>5.000 instancias vulnerables de Apache RocketMQ<\/b> todav\u00eda expuesto, las organizaciones deben <b>actualizar a la \u00faltima versi\u00f3n<\/b> para mitigar los riesgos, al mismo tiempo que protege los servidores MS-SQL contra ataques de fuerza bruta y garantiza cambios regulares de contrase\u00f1a.<\/li>\n<\/ul>\n<\/div>\n<p>La botnet distribuida de denegaci\u00f3n de servicio (DDoS) conocida como <strong>muhstik<\/strong> Se ha observado que aprovecha una falla de seguridad ahora parcheada que afecta a Apache RocketMQ para cooptar servidores susceptibles y expandir su escala.<\/p>\n<p>&#8220;Muhstik es una amenaza bien conocida dirigida a dispositivos IoT y servidores basados \u200b\u200ben Linux, conocida por su capacidad para infectar dispositivos y utilizarlos para la extracci\u00f3n de criptomonedas y lanzar ataques de denegaci\u00f3n de servicio distribuido (DDoS)&#8221;, dijo la empresa de seguridad en la nube Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/www.aquasec.com\/blog\/muhstik-malware-targets-message-queuing-services-applications\/\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana.<\/p>\n<p>Documentadas por primera vez en 2018, las campa\u00f1as de ataque que involucran malware tienen un historial de explotaci\u00f3n de fallas de seguridad conocidas, espec\u00edficamente aquellas relacionadas con aplicaciones web, para su propagaci\u00f3n.<\/p>\n<p>La \u00faltima incorporaci\u00f3n a la lista de vulnerabilidades explotadas es CVE-2023-33246 (puntuaci\u00f3n CVSS: 9,8), una <a rel=\"nofollow noopener\" href=\"https:\/\/lists.apache.org\/thread\/1s8j2c8kogthtpv3060yddk03zq0pxyp\" target=\"_blank\">falla de seguridad cr\u00edtica<\/a> que afecta a Apache RocketMQ y que permite a un atacante remoto y no autenticado realizar la ejecuci\u00f3n remota de c\u00f3digo falsificando el contenido del protocolo RocketMQ o utilizando la funci\u00f3n de configuraci\u00f3n de actualizaci\u00f3n.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718016424_202_Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Una vez que se abusa con \u00e9xito de la deficiencia para obtener acceso inicial, el actor de la amenaza procede a ejecutar un script de shell alojado en una direcci\u00f3n IP remota, que luego es responsable de recuperar el binario Muhstik (&#8220;pty3&#8221;) de otro servidor.<\/p>\n<p>&#8220;Despu\u00e9s de obtener la capacidad de cargar la carga maliciosa explotando la vulnerabilidad RocketMQ, el atacante puede ejecutar su c\u00f3digo malicioso, que descarga el malware Muhstik&#8221;, dijo el investigador de seguridad Nitzan Yaakov.<\/p>\n<p>La persistencia en el host se logra copiando el binario del malware en m\u00faltiples directorios y editando el archivo \/etc\/inittab, que controla qu\u00e9 procesos iniciar durante el arranque de un servidor Linux, para reiniciar autom\u00e1ticamente el proceso.<\/p>\n<p>Es m\u00e1s, nombrar el binario como &#8220;pty3&#8221; es probablemente un intento de hacerse pasar por un pseudoterminal (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man7\/pty.7.html\" target=\"_blank\">pty<\/a>&#8220;) y evadir la detecci\u00f3n. Otra t\u00e9cnica de evasi\u00f3n es que el malware se copia a directorios como \/dev\/shm, \/var\/tmp, \/run\/lock y \/run durante la fase de persistencia, lo que permite ejecutarlo directamente desde memoria y evitar dejar rastros en el sistema.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718339213_349_Muhstik-Botnet-explota-la-falla-de-Apache-RocketMQ-para-expandir.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718339213_349_Muhstik-Botnet-explota-la-falla-de-Apache-RocketMQ-para-expandir.png\" alt=\"\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Muhstik viene equipado con funciones para recopilar metadatos del sistema, moverse lateralmente a otros dispositivos a trav\u00e9s de un shell seguro (SSH) y, en \u00faltima instancia, establecer contacto con un dominio de comando y control (C2) para recibir m\u00e1s instrucciones mediante Internet Relay Chat (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/IRC\" target=\"_blank\">IRC<\/a>) protocolo.<\/p>\n<p>El objetivo final del malware es convertir los dispositivos comprometidos en armas para realizar diferentes tipos de ataques de inundaci\u00f3n contra objetivos de inter\u00e9s, abrumando efectivamente sus recursos de red y desencadenando una condici\u00f3n de denegaci\u00f3n de servicio.<\/p>\n<p>Con 5216 instancias vulnerables de Apache RocketMQ a\u00fan expuestas a Internet despu\u00e9s de m\u00e1s de un a\u00f1o de divulgaci\u00f3n p\u00fablica de la falla, es esencial que las organizaciones tomen medidas para actualizar a la \u00faltima versi\u00f3n a fin de mitigar posibles amenazas.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Adem\u00e1s, en campa\u00f1as anteriores, se detect\u00f3 actividad de criptominer\u00eda despu\u00e9s de la ejecuci\u00f3n del malware Muhstik&#8221;, dijo Yaakov.  &#8220;Estos objetivos van de la mano, ya que los atacantes se esfuerzan por propagarse e infectar m\u00e1s m\u00e1quinas, lo que les ayuda en su misi\u00f3n de extraer m\u00e1s criptomonedas utilizando la energ\u00eda el\u00e9ctrica de las m\u00e1quinas comprometidas&#8221;.<\/p>\n<p>La divulgaci\u00f3n se produce cuando el Centro de inteligencia de seguridad de AhnLab (ASEC) revel\u00f3 que los actores de amenazas est\u00e1n atacando servidores MS-SQL mal protegidos con varios tipos de malware, que van desde ransomware y troyanos de acceso remoto hasta proxyware.<\/p>\n<p>&#8220;Los administradores deben utilizar contrase\u00f1as dif\u00edciles de adivinar para sus cuentas y cambiarlas peri\u00f3dicamente para proteger el servidor de la base de datos de ataques de fuerza bruta y ataques de diccionario&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/66282\/\" target=\"_blank\">dicho<\/a>.  &#8220;Tambi\u00e9n deben aplicar los \u00faltimos parches para prevenir ataques de vulnerabilidad&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/muhstik-botnet-exploiting-apache.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 de junio de 2024\ue804Sala de redacci\u00f3nAtaque de botnet\/DDoS botnet muhstik explota una falla cr\u00edtica de Apache RocketMQ<\/p>\n","protected":false},"author":1,"featured_media":1236888,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,42964,2346,4661,5895,4664,2347,5293,6614,2503,4662,4668,201033,36,37458,4654,201031,4659,4653,4655,18,202297,4666,4665,201032,4660],"class_list":["post-1236887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-apache","tag-ataques","tag-ataques-ciberneticos","tag-botnet","tag-como-hackear","tag-ddos","tag-expandir","tag-explota","tag-falla","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-los","tag-muhstik","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-rocketmq","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1236887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1236887"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1236887\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1236888"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1236887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1236887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1236887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}