Un botnet de denegación de servicio distribuido (DDoS) llamado Muhstik ha sido identificado aprovechando una vulnerabilidad parcheada que afecta a Apache RocketMQ para tomar el control de servidores vulnerables y ampliar su alcance. Muhstik es conocido por dirigirse a dispositivos IoT y servidores basados en Linux, utilizando su capacidad para infectar dispositivos y utilizarlos para extraer criptomonedas y lanzar ataques DDoS. Según Aqua, una firma de seguridad en la nube, Muhstik apunta específicamente a dispositivos IoT y servidores Linux.
La campaña de ataque asociada con el malware, documentada por primera vez en 2018, ha demostrado explotar fallas de seguridad conocidas, en su mayoría relacionadas con aplicaciones web, como su método de propagación. La vulnerabilidad recientemente explotada, CVE-2023-33246 (CVSS score: 9.8), afecta a Apache RocketMQ y permite a un atacante remoto y no autenticado ejecutar código remoto. Una vez explotada la vulnerabilidad, Muhstik procede a ejecutar un script de shell alojado en una dirección IP remota, lo que desencadena la recuperación del binario de Muhstik y su ejecución maliciosa.
Muhstik garantiza la persistencia en el host mediante la copia del binario de malware en varios directorios, la edición del archivo /etc/inittab y técnicas de evasión como copiarse en directorios particulares, permitiéndole ejecutarse directamente desde la memoria. Además, el malware puede recopilar metadatos del sistema, moverse a otros dispositivos a través de SSH y establecer contacto con un dominio de control y comando (C2) utilizando Internet Relay Chat (IRC).
Se estima que más de 5,216 instancias vulnerables de Apache RocketMQ aún están expuestas en Internet después de más de un año desde la divulgación pública de la vulnerabilidad, lo que subraya la importancia de actualizar a la última versión para mitigar las amenazas potenciales. Además, Aqua reveló que se detectó actividad de criptomonedas después de la ejecución del malware Muhstik en campañas anteriores.
La divulgación se produce en un momento en el que ASEC alerta que los servidores MS-SQL mal protegidos están siendo atacados por varios tipos de malware, desde ransomware hasta Proxyware. ASEC aconseja a los administradores proteger los servidores de la base de datos mediante contraseñas sólidas y la aplicación de las últimas actualizaciones para prevenir vulnerabilidades.
Vía The Hacker News
