Muhstik BotnetがApache RocketMQの脆弱性CVE-2023-33246を悪用してDDoS攻撃を拡大している。この脆弱性はリモートから認証なしにコード実行を可能にするもので、攻撃者はこれを利用してサーバーに不正アクセスし、Muhstikマルウェアをダウンロードする。マルウェアはシステムの複数のディレクトリにコピーされ、/etc/inittabファイルを編集してLinuxサーバーの起動時にプロセスが自動的に再起動するようにすることで永続性を確保する。また、マルウェアはメモリから直接実行されるように設計されており、システム上に痕跡を残さないようにする。Muhstikはシステムメタデータの収集、SSHを介した他のデバイスへの横移動、IRCプロトコルを使用してコマンドアンドコントロール(C2)ドメインとの通信を確立する機能を備えている。最終目的は、標的のネットワークリソースを圧倒し、サービス拒否状態を引き起こす様々なタイプのフラッディング攻撃を実行することである。公開から1年以上経過しても5,216の脆弱なApache RocketMQインスタンスがインターネットに露出しているため、組織は最新バージョンへの更新によって潜在的な脅威を軽減する必要がある。また、以前のキャンペーンでは、Muhstikマルウェアの実行後に暗号通貨マイニング活動が検出された。これらの目的は、攻撃者がより多くのマシンを感染させ、侵害したマシンの電力を使用してより多くの暗号通貨をマイニングすることを目指している。AhnLab Security Intelligence Center (ASEC)は、不十分に保護されたMS-SQLサーバーがランサムウェアやリモートアクセストロイの木馬、Proxywareなど様々なタイプのマルウェアの標的になっていることを明らかにした。管理者はデータベースサーバーをブルートフォース攻撃や辞書攻撃から保護するために、推測しにくいパスワードを使用し、定期的に変更する必要がある。また、脆弱性攻撃を防ぐために最新のパッチを適用する必要がある。
【ニュース解説】
Apache RocketMQの重大なセキュリティ脆弱性(CVE-2023-33246)を悪用して、Muhstik BotnetがDDoS(分散型サービス拒否)攻撃を拡大している事例が報告されました。この脆弱性は、攻撃者がリモートから認証なしにコードを実行できることを可能にし、これによりサーバーが不正アクセスの対象となり、Muhstikマルウェアのダウンロードが行われます。Muhstikは、IoTデバイスやLinuxベースのサーバーを標的とすることで知られ、感染したデバイスを利用して暗号通貨のマイニングやDDoS攻撃を行う能力を持っています。
このマルウェアは、システムの複数のディレクトリに自身をコピーし、Linuxサーバーの起動時にプロセスが自動的に再起動するように/etc/inittabファイルを編集することで、永続性を確保します。また、メモリから直接実行されるように設計されており、システム上に痕跡を残さないようにする工夫もされています。Muhstikは、システムメタデータの収集、SSHを介した他のデバイスへの横移動、IRCプロトコルを使用してコマンドアンドコントロール(C2)ドメインとの通信を確立する機能を備えており、最終的には標的のネットワークリソースを圧倒し、サービス拒否状態を引き起こす様々なタイプのフラッディング攻撃を実行することが目的です。
この脆弱性の公開から1年以上が経過してもなお、5,216の脆弱なApache RocketMQインスタンスがインターネットに露出していることが明らかにされています。これは、組織が最新バージョンへの更新を通じて潜在的な脅威を軽減することの重要性を示しています。また、以前のキャンペーンでは、Muhstikマルウェアの実行後に暗号通貨マイニング活動が検出されたことも報告されており、攻撃者がより多くのマシンを感染させ、侵害したマシンの電力を使用してより多くの暗号通貨をマイニングすることを目指していることが示されています。
このような攻撃の拡大は、IoTデバイスやサーバーのセキュリティ対策の重要性を改めて浮き彫りにしています。特に、公開された脆弱性に対する迅速なパッチ適用や、推測しにくいパスワードの使用、定期的なパスワード変更など、基本的なセキュリティ対策の徹底が求められます。また、この事例は、サイバーセキュリティの観点から見た際に、攻撃者が常に新しい脆弱性を探し、悪用することを試みている現実を示しており、セキュリティ対策の継続的な見直しと強化が不可欠であることを教えてくれます。
from Muhstik Botnet Exploiting Apache RocketMQ Flaw to Expand DDoS Attacks.
