{"id":1198439,"date":"2024-06-14T01:48:50","date_gmt":"2024-06-14T03:48:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-botnet-muhstik-exploite-la-faille-apache-rocketmq-pour-etendre-les-attaques-ddos\/"},"modified":"2024-06-14T01:48:54","modified_gmt":"2024-06-14T03:48:54","slug":"le-botnet-muhstik-exploite-la-faille-apache-rocketmq-pour-etendre-les-attaques-ddos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-botnet-muhstik-exploite-la-faille-apache-rocketmq-pour-etendre-les-attaques-ddos\/","title":{"rendered":"Le botnet Muhstik exploite la faille Apache RocketMQ pour \u00e9tendre les attaques DDoS"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Attaque de botnets\/DDoS<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Le-botnet-Muhstik-exploite-la-faille-Apache-RocketMQ-pour-etendre.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<div class=\"news-summary\">\n<ul>\n<li><b>Botnet Muhstik<\/b> exploite une faille critique d&#8217;Apache RocketMQ (CVE-2023-33246) pour <b>ex\u00e9cution de code \u00e0 distance<\/b>ciblant les serveurs Linux et les appareils IoT pour <b>Attaques DDoS et extraction de cryptomonnaie<\/b>.<\/li>\n<li>L&#8217;infection implique l&#8217;ex\u00e9cution d&#8217;un script shell \u00e0 partir d&#8217;une adresse IP distante, le t\u00e9l\u00e9chargement du <b>Binaire du malware Muhstik (&#8220;pty3&#8221;)<\/b>et assurer la persistance en copiant dans plusieurs r\u00e9pertoires et en modifiant les fichiers syst\u00e8me.<\/li>\n<li>Avec plus de <b>5\u00a0000 instances Apache RocketMQ vuln\u00e9rables<\/b> toujours expos\u00e9es, les organisations doivent <b>mettre \u00e0 jour vers la derni\u00e8re version<\/b> pour att\u00e9nuer les risques, tout en s\u00e9curisant les serveurs MS-SQL contre les attaques par force brute et en garantissant des changements r\u00e9guliers de mots de passe.<\/li>\n<\/ul>\n<\/div>\n<p>Le botnet par d\u00e9ni de service distribu\u00e9 (DDoS) connu sous le nom de <strong>Muhstik<\/strong> a \u00e9t\u00e9 observ\u00e9 en train d&#8217;exploiter une faille de s\u00e9curit\u00e9 d\u00e9sormais corrig\u00e9e affectant Apache RocketMQ pour coopter des serveurs sensibles et \u00e9tendre son \u00e9chelle.<\/p>\n<p>&#8220;Muhstik est une menace bien connue ciblant les appareils IoT et les serveurs bas\u00e9s sur Linux, connue pour sa capacit\u00e9 \u00e0 infecter des appareils et \u00e0 les utiliser pour extraire des cryptomonnaies et lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS),&#8221; a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/www.aquasec.com\/blog\/muhstik-malware-targets-message-queuing-services-applications\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 cette semaine.<\/p>\n<p>Document\u00e9es pour la premi\u00e8re fois en 2018, les campagnes d&#8217;attaque impliquant des logiciels malveillants ont l&#8217;habitude d&#8217;exploiter les failles de s\u00e9curit\u00e9 connues, en particulier celles li\u00e9es aux applications Web, \u00e0 des fins de propagation.<\/p>\n<p>La derni\u00e8re addition \u00e0 la liste des vuln\u00e9rabilit\u00e9s exploit\u00e9es est CVE-2023-33246 (score CVSS : 9,8), une <a rel=\"nofollow noopener\" href=\"https:\/\/lists.apache.org\/thread\/1s8j2c8kogthtpv3060yddk03zq0pxyp\" target=\"_blank\">faille de s\u00e9curit\u00e9 critique<\/a> affectant Apache RocketMQ qui permet \u00e0 un attaquant distant et non authentifi\u00e9 d&#8217;ex\u00e9cuter du code \u00e0 distance en falsifiant le contenu du protocole RocketMQ ou en utilisant la fonction de configuration de mise \u00e0 jour.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Une fois que la faille est exploit\u00e9e avec succ\u00e8s pour obtenir un acc\u00e8s initial, l&#8217;acteur malveillant proc\u00e8de \u00e0 l&#8217;ex\u00e9cution d&#8217;un script shell h\u00e9berg\u00e9 sur une adresse IP distante, qui est ensuite charg\u00e9 de r\u00e9cup\u00e9rer le binaire Muhstik (\u00ab pty3 \u00bb) depuis un autre serveur.<\/p>\n<p>&#8220;Apr\u00e8s avoir r\u00e9ussi \u00e0 t\u00e9l\u00e9charger la charge utile malveillante en exploitant la vuln\u00e9rabilit\u00e9 RocketMQ, l&#8217;attaquant est capable d&#8217;ex\u00e9cuter son code malveillant, qui t\u00e9l\u00e9charge le malware Muhstik&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Nitzan Yaakov.<\/p>\n<p>La persistance sur l&#8217;h\u00f4te est obtenue en copiant le binaire du malware dans plusieurs r\u00e9pertoires et en \u00e9ditant le fichier \/etc\/inittab &#8211; qui contr\u00f4le les processus \u00e0 d\u00e9marrer lors du d\u00e9marrage d&#8217;un serveur Linux &#8211; pour red\u00e9marrer automatiquement le processus.<\/p>\n<p>De plus, le fait de nommer le binaire &#8220;pty3&#8221; est probablement une tentative de se faire passer pour un pseudoterminal (&#8220;<a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man7\/pty.7.html\" target=\"_blank\">pty<\/a>&#8220;) et \u00e9chappe \u00e0 la d\u00e9tection. Une autre technique d&#8217;\u00e9vasion consiste \u00e0 copier le malware dans des r\u00e9pertoires tels que \/dev\/shm, \/var\/tmp, \/run\/lock et \/run pendant la phase de persistance, ce qui lui permet d&#8217;\u00eatre ex\u00e9cut\u00e9 directement depuis m\u00e9moire et \u00e9viter de laisser des traces sur le syst\u00e8me.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718336929_409_Le-botnet-Muhstik-exploite-la-faille-Apache-RocketMQ-pour-etendre.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718336929_409_Le-botnet-Muhstik-exploite-la-faille-Apache-RocketMQ-pour-etendre.png\" alt=\"\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Muhstik est \u00e9quip\u00e9 de fonctionnalit\u00e9s permettant de collecter des m\u00e9tadonn\u00e9es du syst\u00e8me, de se d\u00e9placer lat\u00e9ralement vers d&#8217;autres appareils via un shell s\u00e9curis\u00e9 (SSH) et, finalement, d&#8217;\u00e9tablir un contact avec un domaine de commande et de contr\u00f4le (C2) pour recevoir des instructions suppl\u00e9mentaires \u00e0 l&#8217;aide du chat de relais Internet (<a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/IRC\" target=\"_blank\">IRC<\/a>) protocole.<\/p>\n<p>L&#8217;objectif final du logiciel malveillant est de militariser les appareils compromis pour effectuer diff\u00e9rents types d&#8217;attaques par inondation contre des cibles d&#8217;int\u00e9r\u00eat, submergeant ainsi leurs ressources r\u00e9seau et d\u00e9clenchant une condition de d\u00e9ni de service.<\/p>\n<p>Avec 5\u00a0216 instances vuln\u00e9rables d&#8217;Apache RocketMQ toujours expos\u00e9es sur Internet apr\u00e8s plus d&#8217;un an de divulgation publique de la faille, il est essentiel que les organisations prennent des mesures pour mettre \u00e0 jour vers la derni\u00e8re version afin d&#8217;att\u00e9nuer les menaces potentielles.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;De plus, lors de campagnes pr\u00e9c\u00e9dentes, une activit\u00e9 de cryptominage a \u00e9t\u00e9 d\u00e9tect\u00e9e apr\u00e8s l&#8217;ex\u00e9cution du malware Muhstik&#8221;, a d\u00e9clar\u00e9 Yaakov.  &#8220;Ces objectifs vont de pair, car les attaquants s&#8217;efforcent de propager et d&#8217;infecter davantage de machines, ce qui les aide dans leur mission consistant \u00e0 extraire davantage de crypto-monnaie en utilisant l&#8217;\u00e9nergie \u00e9lectrique des machines compromises.&#8221;<\/p>\n<p>Cette divulgation intervient alors que l&#8217;AhnLab Security Intelligence Center (ASEC) a r\u00e9v\u00e9l\u00e9 que les serveurs MS-SQL mal s\u00e9curis\u00e9s sont cibl\u00e9s par des acteurs malveillants contre divers types de logiciels malveillants, allant des ransomwares et chevaux de Troie d&#8217;acc\u00e8s \u00e0 distance aux proxywares.<\/p>\n<p>&#8220;Les administrateurs doivent utiliser des mots de passe difficiles \u00e0 deviner pour leurs comptes et les modifier p\u00e9riodiquement pour prot\u00e9ger le serveur de base de donn\u00e9es contre les attaques par force brute et les attaques par dictionnaire&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/66282\/\" target=\"_blank\">dit<\/a>.  &#8220;Ils doivent \u00e9galement appliquer les derniers correctifs pour pr\u00e9venir les attaques de vuln\u00e9rabilit\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/muhstik-botnet-exploiting-apache.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 juin 2024\ue804R\u00e9dactionAttaque de botnets\/DDoS Botnet Muhstik exploite une faille critique d&#8217;Apache RocketMQ (CVE-2023-33246) pour ex\u00e9cution de code \u00e0 distanceciblant les serveurs Linux et les appareils IoT pour Attaques DDoS et extraction de cryptomonnaie. L&#8217;infection implique l&#8217;ex\u00e9cution d&#8217;un script shell \u00e0 partir d&#8217;une adresse IP distante, le t\u00e9l\u00e9chargement du Binaire du malware Muhstik (&#8220;pty3&#8221;)et assurer [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1198440,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,43333,8074,5464,4168,4165,4161,200267,2890,35425,7727,9048,4159,4171,65,200271,200268,37828,200269,200270,185,201687,128318,4172,4169,4166,4164],"class_list":["post-1198439","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-apache","tag-attaques","tag-botnet","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-ddos","tag-etendre","tag-exploite","tag-faille","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-muhstik","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-pour","tag-rocketmq","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198439","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1198439"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1198439\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1198440"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1198439"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1198439"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1198439"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}