- Botnet Muhstik exploite une faille critique d’Apache RocketMQ (CVE-2023-33246) pour exécution de code à distanceciblant les serveurs Linux et les appareils IoT pour Attaques DDoS et extraction de cryptomonnaie.
- L’infection implique l’exécution d’un script shell à partir d’une adresse IP distante, le téléchargement du Binaire du malware Muhstik (« pty3 »)et assurer la persistance en copiant dans plusieurs répertoires et en modifiant les fichiers système.
- Avec plus de 5 000 instances Apache RocketMQ vulnérables toujours exposées, les organisations doivent mettre à jour vers la dernière version pour atténuer les risques, tout en sécurisant les serveurs MS-SQL contre les attaques par force brute et en garantissant des changements réguliers de mots de passe.
Le botnet par déni de service distribué (DDoS) connu sous le nom de Muhstik a été observé en train d’exploiter une faille de sécurité désormais corrigée affectant Apache RocketMQ pour coopter des serveurs sensibles et étendre son échelle.
« Muhstik est une menace bien connue ciblant les appareils IoT et les serveurs basés sur Linux, connue pour sa capacité à infecter des appareils et à les utiliser pour extraire des cryptomonnaies et lancer des attaques par déni de service distribué (DDoS), » a déclaré la société de sécurité cloud Aqua. dit dans un rapport publié cette semaine.
Documentées pour la première fois en 2018, les campagnes d’attaque impliquant des logiciels malveillants ont l’habitude d’exploiter les failles de sécurité connues, en particulier celles liées aux applications Web, à des fins de propagation.
La dernière addition à la liste des vulnérabilités exploitées est CVE-2023-33246 (score CVSS : 9,8), une faille de sécurité critique affectant Apache RocketMQ qui permet à un attaquant distant et non authentifié d’exécuter du code à distance en falsifiant le contenu du protocole RocketMQ ou en utilisant la fonction de configuration de mise à jour.
Une fois que la faille est exploitée avec succès pour obtenir un accès initial, l’acteur malveillant procède à l’exécution d’un script shell hébergé sur une adresse IP distante, qui est ensuite chargé de récupérer le binaire Muhstik (« pty3 ») depuis un autre serveur.
« Après avoir réussi à télécharger la charge utile malveillante en exploitant la vulnérabilité RocketMQ, l’attaquant est capable d’exécuter son code malveillant, qui télécharge le malware Muhstik », a déclaré le chercheur en sécurité Nitzan Yaakov.
La persistance sur l’hôte est obtenue en copiant le binaire du malware dans plusieurs répertoires et en éditant le fichier /etc/inittab – qui contrôle les processus à démarrer lors du démarrage d’un serveur Linux – pour redémarrer automatiquement le processus.
De plus, le fait de nommer le binaire « pty3 » est probablement une tentative de se faire passer pour un pseudoterminal (« pty« ) et échappe à la détection. Une autre technique d’évasion consiste à copier le malware dans des répertoires tels que /dev/shm, /var/tmp, /run/lock et /run pendant la phase de persistance, ce qui lui permet d’être exécuté directement depuis mémoire et éviter de laisser des traces sur le système.
Muhstik est équipé de fonctionnalités permettant de collecter des métadonnées du système, de se déplacer latéralement vers d’autres appareils via un shell sécurisé (SSH) et, finalement, d’établir un contact avec un domaine de commande et de contrôle (C2) pour recevoir des instructions supplémentaires à l’aide du chat de relais Internet (IRC) protocole.
L’objectif final du logiciel malveillant est de militariser les appareils compromis pour effectuer différents types d’attaques par inondation contre des cibles d’intérêt, submergeant ainsi leurs ressources réseau et déclenchant une condition de déni de service.
Avec 5 216 instances vulnérables d’Apache RocketMQ toujours exposées sur Internet après plus d’un an de divulgation publique de la faille, il est essentiel que les organisations prennent des mesures pour mettre à jour vers la dernière version afin d’atténuer les menaces potentielles.
« De plus, lors de campagnes précédentes, une activité de cryptominage a été détectée après l’exécution du malware Muhstik », a déclaré Yaakov. « Ces objectifs vont de pair, car les attaquants s’efforcent de propager et d’infecter davantage de machines, ce qui les aide dans leur mission consistant à extraire davantage de crypto-monnaie en utilisant l’énergie électrique des machines compromises. »
Cette divulgation intervient alors que l’AhnLab Security Intelligence Center (ASEC) a révélé que les serveurs MS-SQL mal sécurisés sont ciblés par des acteurs malveillants contre divers types de logiciels malveillants, allant des ransomwares et chevaux de Troie d’accès à distance aux proxywares.
« Les administrateurs doivent utiliser des mots de passe difficiles à deviner pour leurs comptes et les modifier périodiquement pour protéger le serveur de base de données contre les attaques par force brute et les attaques par dictionnaire », ASEC dit. « Ils doivent également appliquer les derniers correctifs pour prévenir les attaques de vulnérabilité. »