Muhstik Botnet, DDoS Saldırılarını Genişletmek İçin Apache RocketMQ Kusurundan Yararlanıyor


06 Haziran 2024Haber odasıBotnet / DDoS Saldırısı

Muhstik Botnet

Dağıtılmış hizmet reddi (DDoS) botnet olarak bilinen Muhstik Apache RocketMQ’yu etkileyen, artık yamalanmış bir güvenlik açığından yararlanarak duyarlı sunucuları benimsediği ve ölçeğini genişlettiği gözlemlendi.

Bulut güvenlik firması Aqua, bir raporda şunları söyledi: “Muhstik, IoT cihazlarını ve Linux tabanlı sunucuları hedef alan, cihazlara virüs bulaştırma ve bunları kripto para birimi madenciliği için kullanma ve Dağıtılmış Hizmet Reddi (DDoS) saldırıları başlatma becerisiyle ünlü, iyi bilinen bir tehdittir.” bu hafta yayınlandı.

İlk olarak 2018’de belgelenen, kötü amaçlı yazılım içeren saldırı kampanyalarının, yayılma amacıyla bilinen güvenlik kusurlarından, özellikle de web uygulamalarıyla ilgili olanlardan yararlanma geçmişi vardır.

İstismar edilen güvenlik açıkları listesine en son eklenen CVE-2023-33246 (CVSS puanı: 9,8), Apache RocketMQ’yu etkileyen, uzak ve kimliği doğrulanmamış bir saldırganın RocketMQ protokol içeriğini taklit ederek veya yapılandırma işlevini güncelleyin.

Siber güvenlik

İlk erişimi elde etmek için eksiklik başarılı bir şekilde kötüye kullanıldığında, tehdit aktörü uzak bir IP adresinde barındırılan bir kabuk komut dosyasını yürütmeye devam eder ve bu daha sonra Muhstik ikili dosyasının (“pty3”) başka bir sunucudan alınmasından sorumludur.

Güvenlik araştırmacısı Nitzan Yaakov, “Saldırgan, RocketMQ güvenlik açığından yararlanarak kötü amaçlı yükü yükleme yeteneğini kazandıktan sonra, Muhstik kötü amaçlı yazılımını indiren kötü amaçlı kodunu çalıştırabilir” dedi.

Ana bilgisayar üzerinde kalıcılık, kötü amaçlı yazılım ikili dosyasının birden fazla dizine kopyalanması ve bir Linux sunucusunun başlatılması sırasında hangi işlemlerin başlatılacağını kontrol eden /etc/inittab dosyasının, işlemi otomatik olarak yeniden başlatacak şekilde düzenlenmesi yoluyla elde edilir.

Dahası, ikili dosyanın “pty3” olarak adlandırılması muhtemelen sahte terminal (“pty”) kılığına girme ve tespitten kaçma girişimidir. Diğer bir kaçınma tekniği ise, kötü amaçlı yazılımın kalıcılık aşamasında /dev/shm, /var/tmp, /run/lock ve /run gibi dizinlere kopyalanmasıdır, bu da doğrudan bellekten çalıştırılmasına ve üzerinde iz bırakmasının önlenmesine olanak tanır. sistem.

Muhstik, sistem meta verilerini toplamak, güvenli bir kabuk (SSH) üzerinden diğer cihazlara yanal olarak geçmek ve sonuçta İnternet Aktarmalı Sohbeti (IRC) kullanarak daha fazla talimat almak için bir komuta ve kontrol (C2) alanıyla iletişim kurmak için özelliklerle donatılmıştır. protokol.

Kötü amaçlı yazılımın nihai hedefi, ele geçirilen cihazları, ilgilenilen hedeflere karşı farklı türde saldırı saldırıları gerçekleştirecek şekilde silah haline getirmek, ağ kaynaklarını etkili bir şekilde aşırı kullanmak ve hizmet reddi durumunu tetiklemektir.

Apache RocketMQ’nun 5.216 savunmasız örneği, kusurun bir yıldan uzun süre kamuya açıklanmasının ardından hala internete açık durumdayken, kuruluşların potansiyel tehditleri azaltmak amacıyla en son sürüme güncelleme yapmak için adımlar atması çok önemli.

Siber güvenlik

Yaakov, “Ayrıca önceki kampanyalarda Muhstik kötü amaçlı yazılımının çalıştırılmasının ardından kripto madencilik faaliyeti tespit edildi” dedi. “Saldırganlar daha fazla makineyi yaymaya ve enfekte etmeye çalıştıkça bu hedefler el ele gidiyor, bu da onların ele geçirilen makinelerin elektrik gücünü kullanarak daha fazla kripto para birimi madenciliği yapma görevlerinde onlara yardımcı oluyor.”

Açıklama, AhnLab Güvenlik İstihbarat Merkezi’nin (ASEC), güvenliği zayıf MS-SQL sunucularının, tehdit aktörleri tarafından fidye yazılımı ve uzaktan erişim truva atlarından Proxy yazılımlarına kadar çeşitli kötü amaçlı yazılım türlerine hedeflendiğini ortaya çıkarmasıyla geldi.

ASEC, “Yöneticiler, veritabanı sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için hesapları için tahmin edilmesi zor şifreler kullanmalı ve bunları düzenli aralıklarla değiştirmelidir.” dedi. “Ayrıca güvenlik açığı saldırılarını önlemek için en son yamaları da uygulamalılar.”

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link