Logiciel malveillant Muhstik
Le botnet Muhstik, connu pour ses attaques par déni de service distribué (DDoS), a été repéré en train d'exploiter une vulnérabilité récemment corrigée dans Apache RocketMQ. Cet exploit permet à Muhstik de détourner des serveurs vulnérables, améliorant ainsi la portée et l'impact de son réseau. Muhstik, une menace de longue date, se spécialise dans le ciblage des appareils IoT (Internet des objets) et des serveurs Linux. Il est tristement célèbre pour sa capacité à infecter des appareils, à les utiliser pour l'extraction de cryptomonnaies et à orchestrer des attaques DDoS.
Table des matières
Le botnet Muhstik exploite les vulnérabilités logicielles pour infecter les appareils
Depuis sa première documentation en 2018, les campagnes d'attaques basées sur des logiciels malveillants ont systématiquement ciblé les vulnérabilités de sécurité connues, en particulier celles trouvées dans les applications Web.
L'exploit le plus récent apparu est CVE-2023-33246, une faille critique affectant Apache RocketMQ. Cette vulnérabilité permet à des attaquants distants non authentifiés d'exécuter du code arbitraire en manipulant le contenu du protocole RocketMQ ou en exploitant la fonctionnalité de configuration de mise à jour.
Après avoir exploité cette vulnérabilité pour obtenir un accès initial, les acteurs malveillants exécutent un script shell hébergé sur une adresse IP distante. Ce script est chargé de récupérer le binaire Muhstik (« pty3 ») à partir d'un serveur distinct.
Éviter la détection pour délivrer sa charge utile nuisible
Une fois que l'attaquant exploite la vulnérabilité RocketMQ pour télécharger sa charge utile nuisible, il acquiert la possibilité d'exécuter son code nuisible, conduisant au téléchargement du malware Muhstik.
Pour maintenir la persistance sur l'hôte compromis, le binaire du malware est copié dans différents répertoires et des modifications sont apportées au fichier /etc/inittab, responsable de la gestion des processus de démarrage du serveur Linux, garantissant ainsi le redémarrage automatique du processus non sécurisé.
De plus, le binaire du malware est nommé « pty3 » pour tenter d'apparaître comme un pseudoterminal (« pty ») et d'échapper à la détection. Une autre tactique d'évasion consiste à copier le malware dans des répertoires tels que /dev/shm, /var/tmp, /run/lock et /run pendant la persistance, permettant ainsi une exécution directe à partir de la mémoire et empêchant les traces sur le système.
Les attaquants peuvent exploiter les appareils infectés de nombreuses manières
Muhstik est équipé de fonctionnalités permettant de collecter des métadonnées système, de se déplacer latéralement entre les appareils via Secure Shell (SSH) et d'établir une communication avec un domaine de commande et de contrôle (C2) à l'aide du protocole Internet Relay Chat (IRC).
Le but ultime de ce malware est d'impliquer les appareils compromis dans diverses attaques par inondation contre des cibles spécifiques, inondant efficacement leurs ressources réseau et provoquant des perturbations par déni de service.
Bien que plus d'un an se soit écoulé depuis la divulgation publique de la faille, 5 216 instances d'Apache RocketMQ sont toujours exposées sur Internet. Il est crucial pour les organisations de mettre à jour vers la dernière version afin d'atténuer les menaces potentielles.
En outre, des campagnes précédentes ont montré une activité de cryptominage survenant après l’exécution du logiciel malveillant Muhstik. Ces activités se complètent à mesure que les attaquants cherchent à proliférer et à infecter davantage de machines, les aidant ainsi dans leurs efforts d’extraction de cryptomonnaies en utilisant la puissance de calcul des appareils compromis.
