
FBI: διαθέτει 7.000 κλειδιά αποκρυπτογράφησης για θύματα του LockBit
18 Ιουνίου, 2024
Το SPECTR malware στοχεύει αμυντικές δυνάμεις της Ουκρανίας
20 Ιουνίου, 2024Το botnet επίθεσης άρνησης υπηρεσιών (DDoS) γνωστό ως Muhstik εκμεταλλεύεται ένα πλέον διορθωμένο κενό ασφαλείας στο Apache RocketMQ για να διευρύνει την εμβέλειά του.
Το Muhstik, γνωστό για την ικανότητά του να μολύνει IoT συσκευές και Linux-based servers, χρησιμοποιείται για εξόρυξη κρυπτονομισμάτων και επιθέσεις DDoS. Το τελευταίο κενό ασφαλείας που εκμεταλλεύεται είναι το CVE-2023-33246, που επιτρέπει σε απομακρυσμένους και μη πιστοποιημένους χάκερς να εκτελέσουν κώδικα. Η εκμετάλλευση της ευπάθειας αυτής έχει προκαλέσει σοβαρά προβλήματα σε πολλούς ιδιοκτήτες IoT συσκευών και Linux-based servers, καθώς οι επιθέσεις με χρήση του Muhstik έχουν αυξηθεί δραματικά.
Μετά την εκμετάλλευση της ευπάθειας, οι χάκερς εκτελούν ένα shell script που κατεβάζει το κακόβουλο λογισμικό (malware) Muhstik. Έπειτα διατηρούν την παρουσία τους στο σύστημα αντιγράφοντας το κακόβουλο λογισμικό σε διάφορους φακέλους και τροποποιώντας το αρχείο /etc/inittab για αυτόματη επανεκκίνηση. Επιπλέον, το κακόβουλο λογισμικό συλλέγει τα δεδομένα συστήματος, κινείται πλευρικά σε άλλες συσκευές μέσω SSH και επικοινωνεί με ένα κέντρο ελέγχου για να αποκτήσει περαιτέρω οδηγίες.

Ο τελικός στόχος είναι η εκτέλεση επιθέσεων flooding, με σκοπό την κατάρρευση των δικτύων των στόχων. Παρά τις δημόσιες αποκαλύψεις, 5.216 ευπαθή instances του Apache RocketMQ παραμένουν εκτεθειμένα. Οι οργανισμοί πρέπει να ενημερώσουν άμεσα τα συστήματά τους για να αποφύγουν τυχόν επιθέσεις.