DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Mạng botnet Muhstik nhắm mục tiêu các máy chủ Redis
Muhstik là một mạng botnet được phát hiện vào năm 2018, thường khai thác các lỗ hổng trong ứng dụng web để xâm nhập vào các thiết bị IoT. Kẻ điều hành mạng botnet kiếm tiền từ việc triển khai phần mềm độc hại đào tiền kỹ thuật số XMRig, kết hợp với dịch vụ cho thuê DDoS.
Mạng botnet này lợi dụng các máy chủ IRC cho việc ra lệnh và kiểm soát (C2). Theo quan sát của các chuyên gia, Muhstik dường như chỉ sử dụng một hạ tầng mạng từ khi xuất hiện.
Các bot lây lan bằng cách tấn công vào các bộ định tuyến và các máy chủ Linux. Danh sách các bộ định tuyến được nhắm mục tiêu bao gồm bộ định tuyến GPON, DD-WRT và Tomato.
Muhstik khai thác nhiều lỗ hổng an ninh đã được biết đến trước đó để xâm nhập vào thiết bị, bao gồm các lỗ hổng trong máy chủ WebLogic Oracle CVE-2019-2725 và CVE-2017-10271 và lỗ hổng Drupal RCE CVE-2018-7600. Gần đây, theo quan sát của các nhà nghiên cứu từ Juniper Threat Labs, mạng botnet này bắt đầu sử dụng lỗ hổng CVE-2022-0543 để mở rộng quy mô.
“Juniper Threat Labs đã phát hiện một cuộc tấn công nhắm vào máy chủ Redis bằng cách sử dụng lỗ hổng được tiết lộ gần đây, đó là CVE-2022-0543. Lỗ hổng này tồn tại trong một số gói Redis dành cho Debian. Cuộc tấn công bắt đầu vào ngày 11 tháng 3 năm 2022 từ một nhóm tin tặc mà trước đó đã nhắm mục tiêu vào các máy chủ confluence trong tháng 9 năm 2021 và lỗ hổng trong Log4j hồi tháng 12. Mã độc được sử dụng là một biến thể của bot Muhstik có thể được sử dụng để khởi động các cuộc tấn công DDoS.”
CVE-2022-0543, điểm CVSS 10, là lỗ hổng rất nghiêm trọng, có thể bị kẻ tấn công từ xa khai thác nhằm thực thi các tập lệnh Lua tùy ý, đồng thời có thể vượt qua cơ chế Lua sandbox để thực thi lệnh ở cấp độ hệ điều hành.
Hacker sẽ tải lên tập lệnh russia.sh độc hại thông qua lệnh wget hoặc curl từ địa chỉ 106[.]246.224.219. Tập lệnh này được lưu dưới dạng /tmp/russ và được thực thi trên máy bị lây nhiễm.
Các chuyên gia cho biết, lỗ hổng này không liên quan đến Redis, thay vào đó, nó tồn tại do thư viện Lua trong một số gói Debian/Ubuntu được cung cấp dưới dạng thư viện động (Ubuntu Bionic và Trusty không bị ảnh hưởng). Theo bản tin an ninh do Ubuntu phát hành, "do sự cố đóng gói, kẻ tấn công từ xa có khả năng thực thi các tập lệnh Lua tùy ý có thể thoát khỏi hộp cát Lua và thực thi mã tùy ý trên máy chủ."
Để chứng minh sự dễ dàng trong việc khai thác lỗ hổng, các nhà nghiên cứu đã đưa ra PoC để hiển thị nội dung của /etc/passwd.
Hacker đang tích cực khai thác lỗ hổng CVE-2022-0543, do đó, người dùng được khuyến nghị nhanh chóng tiến hành vá các dịch vụ Redis lên phiên bản mới nhất.
Mạng botnet này lợi dụng các máy chủ IRC cho việc ra lệnh và kiểm soát (C2). Theo quan sát của các chuyên gia, Muhstik dường như chỉ sử dụng một hạ tầng mạng từ khi xuất hiện.
Các bot lây lan bằng cách tấn công vào các bộ định tuyến và các máy chủ Linux. Danh sách các bộ định tuyến được nhắm mục tiêu bao gồm bộ định tuyến GPON, DD-WRT và Tomato.
Muhstik khai thác nhiều lỗ hổng an ninh đã được biết đến trước đó để xâm nhập vào thiết bị, bao gồm các lỗ hổng trong máy chủ WebLogic Oracle CVE-2019-2725 và CVE-2017-10271 và lỗ hổng Drupal RCE CVE-2018-7600. Gần đây, theo quan sát của các nhà nghiên cứu từ Juniper Threat Labs, mạng botnet này bắt đầu sử dụng lỗ hổng CVE-2022-0543 để mở rộng quy mô.
“Juniper Threat Labs đã phát hiện một cuộc tấn công nhắm vào máy chủ Redis bằng cách sử dụng lỗ hổng được tiết lộ gần đây, đó là CVE-2022-0543. Lỗ hổng này tồn tại trong một số gói Redis dành cho Debian. Cuộc tấn công bắt đầu vào ngày 11 tháng 3 năm 2022 từ một nhóm tin tặc mà trước đó đã nhắm mục tiêu vào các máy chủ confluence trong tháng 9 năm 2021 và lỗ hổng trong Log4j hồi tháng 12. Mã độc được sử dụng là một biến thể của bot Muhstik có thể được sử dụng để khởi động các cuộc tấn công DDoS.”
CVE-2022-0543, điểm CVSS 10, là lỗ hổng rất nghiêm trọng, có thể bị kẻ tấn công từ xa khai thác nhằm thực thi các tập lệnh Lua tùy ý, đồng thời có thể vượt qua cơ chế Lua sandbox để thực thi lệnh ở cấp độ hệ điều hành.
Hacker sẽ tải lên tập lệnh russia.sh độc hại thông qua lệnh wget hoặc curl từ địa chỉ 106[.]246.224.219. Tập lệnh này được lưu dưới dạng /tmp/russ và được thực thi trên máy bị lây nhiễm.
Các chuyên gia cho biết, lỗ hổng này không liên quan đến Redis, thay vào đó, nó tồn tại do thư viện Lua trong một số gói Debian/Ubuntu được cung cấp dưới dạng thư viện động (Ubuntu Bionic và Trusty không bị ảnh hưởng). Theo bản tin an ninh do Ubuntu phát hành, "do sự cố đóng gói, kẻ tấn công từ xa có khả năng thực thi các tập lệnh Lua tùy ý có thể thoát khỏi hộp cát Lua và thực thi mã tùy ý trên máy chủ."
Để chứng minh sự dễ dàng trong việc khai thác lỗ hổng, các nhà nghiên cứu đã đưa ra PoC để hiển thị nội dung của /etc/passwd.
Hacker đang tích cực khai thác lỗ hổng CVE-2022-0543, do đó, người dùng được khuyến nghị nhanh chóng tiến hành vá các dịch vụ Redis lên phiên bản mới nhất.
Theo: securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: