Muhstikは、LinuxやIoTデバイスをターゲットにするマルウェアです。
このMuhstikが展開するための足掛かりに、RocketMQの脆弱性が利用されていることが確認されています。
どういうことが起こっているのでしょうか。
- 初期アクセス
攻撃者は脆弱なRocketMQインスタンスをスキャンし、CVE-2023-33246を悪用して悪意のあるペイロードをアップロードします。
脆弱性の悪用により、攻撃者はリモートコード実行ができてしまいます。 - 実行
悪意あるシェルスクリプトが、まずは実行されます。
このスクリプトの動作で、複数のバイナリが侵害先にあるcurlを使ってダウンロードされ、取り込んだバイナリを実行します。 - 永続性
永続化は徹底して実施されます。
複数のディレクトリに自身をコピーし、プロセスを自動起動されるようにします。 - 防御回避
防御されなくすることを狙った動きをします。
ファイルレス動作、ファイルの署名の細工、それっぽいファイル名の利用などの手法が使用されます。 - 状態確認
攻撃者は、侵入した環境にネットワーク監視のツールが用意されているかを確認します。 - 横移動
横方向の移動も試みられます。
これにはSSHが使用されます。 - C2
Muhstikマルウェアは、IRCプロトコルを介してコマンドアンドコントロールサーバとの通信を確立します。
C2サーバは、競合するマルウェアプロセスをクリーンアップするコマンドなどのコマンドを侵害された環境に発行します。
RocketMQは人気のある分散メッセージングおよびストリーミングプラットフォームです。
数あるApacheプロジェクトの成果の一つです。
低遅延、高パフォーマンスと信頼性、数兆レベルの容量、そして柔軟なスケーラビリティを備えています。
でも待ってください、脆弱なバージョンのRocketMQを継続利用するのはいただけません。
修正が提供されてから長い時間が経過していますが、まだ更新されていないままインターネットに公開された状態の環境が多くあります。
あなたの環境のパッチケイデンスは適切ですか?
Muhstik Malware Targets Message Queuing Services Applications
https://www.aquasec.com/blog/muhstik-malware-targets-message-queuing-services-applications/
| この記事をシェア |
|
|---|
