Контакты
Подписка 2025
ТБ Форум 2025
Отечественные ИT-платформы и ПО для объектов КИИ. Онлайн-конференция | 6 марта 2025
Регистрируйтесь и участвуйте!

Известный ботнет Muhstik начал активно эксплуатировать исправленную в прошлом году уязвимость в Apache RocketMQ

07/06/24

DDoS attack-Jun-07-2024-11-33-36-7474-AM

По информации компании Aqua Security, специализирующейся на облачной безопасности, Muhstik стал одной из главных угроз для IoT-устройств и серверов на базе Linux, заражая их для последующего майнинга криптовалют и проведения распределённых атак отказа в обслуживании (DDoS). Об этом пишет Securitylab.

Впервые документированные атаки с использованием этого вредоносного ПО были зафиксированы в 2018 году. Muhstik активно использует известные уязвимости в веб-приложениях для своего распространения. Наиболее значимой из них стала уязвимость CVE-2023-33246 с критическим уровнем угрозы (CVSS 9.8), которая позволяет удалённым атакующим выполнять произвольный код, подделывая контент протокола RocketMQ или используя функцию обновления конфигурации.

Злоумышленники используют эту уязвимость для получения начального доступа к системе, после чего запускают скрипт с удалённого IP-адреса. Этот скрипт загружает основной вредоносный файл Muhstik («pty3») с другого сервера. Вредоносный код затем копируется в несколько директорий и изменяет файл «/etc/inittab», чтобы обеспечивать автоматический запуск при перезагрузке сервера.

Для маскировки вредоносный файл получает имя «pty3», что помогает ему скрываться под видом законного псевдотерминала. Также файл копируется в директории «/dev/shm», «/var/tmp», «/run/lock» и «/run», что позволяет ему выполняться прямо из памяти и избегать обнаружения.

Muhstik способен собирать системные метаданные, перемещаться на другие устройства через SSH и устанавливать связь с C2-доменом через IRC-протокол для получения дальнейших инструкций. Основная цель вредоносного ПО — использовать заражённые устройства для проведения различных DDoS-атак, перегружая сети жертв.

Темы:УгрозыDDoS-атакиApacheAqua Security
КИИ
Отечественные ИT-платформы и ПО для объектов критической информационной инфраструктуры
Регистрируйтесь и участвуйте 6 марта 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Кибербезопасность инфраструктуры, данных и приложений. 7 марта 2025
Регистрация →

Еще темы...

More...