Muhstikボットネットは、Apache RocketMQの脆弱性を悪用してDDoS攻撃を拡大していると報告されています。

Muhstikボットネットは、Apache RocketMQに影響を与える現在修正済みのセキュリティの脆弱性を利用して、感染可能なサーバーを乗っ取り、規模を拡大していると観察されています。

クラウドセキュリティ企業のAquaは、今週公表した報告書で、「Muhstikは、IoTデバイスやLinuxベースのサーバーを標的とするよく知られた脅威であり、デバイスを感染させ、暗号通貨のマイニングや分散型サービス妨害（DDoS）攻撃に利用する能力で悪名高い」と述べています。

2018年に初めて文書化されたこのマルウェアに関連する攻撃キャンペーンは、主にWebアプリケーションに関連する既知のセキュリティの脆弱性を悪用して拡散しています。

最新の悪用された脆弱性のリストに加わったのは、CVE-2023-33246（CVSSスコア：9.8）です。これは、リモートおよび認証されていない攻撃者がRocketMQプロトコルコンテンツを偽造するか、更新構成機能を使用してリモートコード実行を実行できるApache RocketMQに影響を与える重大なセキュリティの脆弱性です。

この欠点を利用して初期アクセスを取得すると、脅威のアクターはリモートIPアドレスにホストされたシェルスクリプトを実行し、その後、別のサーバーからMuhstikバイナリ（”pty3″）を取得します。

セキュリティ研究者のNitzan Yaakovは、「RocketMQの脆弱性を悪用して悪意のあるペイロードをアップロードする能力を得た後、攻撃者は自分の悪意のあるコードを実行し、Muhstikマルウェアをダウンロードすることができる」と述べています。

 

ホスト上での永続性は、マルウェアバイナリを複数のディレクトリにコピーし、Linuxサーバーの起動時にどのプロセスを開始するかを制御する/etc/inittabファイルを編集して、自動的にプロセスを再起動することで実現されます。

さらに、バイナリの名前を「pty3」とすることは、疑似端末（”pty”）として偽装し、検出を回避しようとする試みである可能性があります。もう1つの回避技術は、マルウェアが永続性フェーズで/dev/shm、/var/tmp、/run/lock、および/runなどのディレクトリにコピーされることで、システムに痕跡を残さずに直接メモリから実行できるようにすることです。

Muhstikは、システムメタデータを収集し、セキュアシェル（SSH）を介して他のデバイスに横断的に移動し、最終的にインターネットリレーチャット（IRC）プロトコルを使用してコマンドアンドコントロール（C2）ドメインと接続し、さらなる命令を受け取るための機能を備えています。

マルウェアの最終目標は、侵害されたデバイスを武器化して、興味のあるターゲットに対して異なる種類のフラッディング攻撃を実行し、そのネットワークリソースを効果的に圧倒し、サービスの否認条件を引き起こすことです。

CVE-2023-33246の脆弱性が公開されてから1年以上経過したにもかかわらず、インターネットに公開されているApache RocketMQの脆弱なインスタンスは5,216件ありますので、組織が潜在的な脅威を緩和するために最新バージョンにアップデートすることが重要です。

「さらに、過去のキャンペーンでは、Muhstikマルウェアの実行後に暗号マイニング活動が検出されました」とYaakov氏は述べています。「これらの目的は手を組んでおり、攻撃者はより多くのマシンを拡散および感染させることを目指しており、これにより、侵害されたマシンの電力を使用してより多くの暗号通貨をマイニングするという彼らの使命を支援しています。」

この開示は、AhnLabセキュリティインテリジェンスセンター（ASEC）が、適切に保護されていないMS-SQLサーバーが、ランサムウェアやリモートアクセストロイのよ