Muhstik：僵尸服务器大军已准备好应对新的 DDoS 攻击

更新您的 Apache RocketMQ 实例以避免泄露。

知名僵尸网络 Muhstik 开始积极利用去年修复的 Apache RocketMQ 中的漏洞来接管易受攻击的服务器并扩大其 DDoS 攻击规模。

DDoS

据云安全公司 Aqua Security 称，Muhstik 已成为物联网设备和基于 Linux 的服务器的主要威胁之一，感染它们以进行后续的加密货币挖掘和分布式拒绝服务 (DDoS) 攻击。

据了解 水安全 物联网 Linux

首次有记录的使用该恶意软件的攻击记录于 2018 年。 Muhstik 积极利用 Web 应用程序中的已知漏洞进行传播。其中最重要的是威胁级别为严重（CVSS 9.8）的漏洞CVE-2023-33246，该漏洞允许远程攻击者通过篡改RocketMQ协议内容或使用配置更新功能来执行任意代码。

CVE-2023-33246

攻击者利用此漏洞获得对系统的初始访问权限，然后从远程 IP 地址启动脚本。该脚本从另一台服务器下载主要的恶意 Muhstik 文件（“pty3”）。然后，恶意代码被复制到多个目录中，并修改“/etc/inittab”文件，以确保其在服务器重新启动时自动运行。

为了伪装恶意文件，它被命名为“pty3”，这有助于它隐藏在合法伪终端的伪装下。该文件还会被复制到“/dev/shm”、“/var/tmp”、“/run/lock”和“/run”目录，从而允许它直接从内存执行并避免检测。

Muhstik 能够收集系统元数据，通过 SSH 移动到其他设备，并通过 IRC 协议与 C2 域通信以获得进一步的指令。该恶意软件的主要目标是使用受感染的设备进行各种 DDoS 攻击，使受害者网络超载。

C2