Muhstik kötü amaçlı yazılım çetesi, bir kavram kanıtı açığının herkese açık olarak yayınlanmasının ardından Redis’teki bir Lua korumalı alan kaçış güvenlik açığını aktif olarak hedefliyor ve kullanıyor.
Güvenlik açığı CVE-2022-0543 olarak izleniyor ve Şubat 2022’de keşfedildi ve hem Debian hem de Ubuntu Linux dağıtımlarını etkiledi.
Kısa bir süre sonra, 10 Mart’ta, üzerinde bir kavram kanıtı (PoC) açığı halka açık olarak yayınlandı. GitHubkötü niyetli aktörlerin uzaktan keyfi Lua komut dosyalarını çalıştırmasına izin vererek, hedef ana bilgisayarda sanal alandan kaçış sağlar.
Güvenlik açığı Redis paketi sürüm 5.6.0.16.-1’de yamalanmış olsa da, sunucuların operasyonel kaygılar nedeniyle veya yalnızca yöneticinin yeni sürümden haberdar olmaması nedeniyle hemen güncellenmemesi yaygındır.
tarafından bir rapora göre Ardıç Tehdit LaboratuvarlarıPoC yayınlandıktan sadece bir gün sonra Muhstik çetesi, DDoS (hizmet reddi) operasyonlarını destekleyen kötü amaçlı yazılımları bırakmak için kusurdan aktif olarak yararlanmaya başladı.
Uzun süredir devam eden bir Çin botnet
Araştırmacıların belirttiği gibi Muhstik botnet’in Çin dışında çalıştırıldığı düşünülüyor. daha önce bağlantılı kontrol altyapısını bir Çinli adli tıp firmasına verdi.
En az 2018’den bu yana, çok sayıda savunmasız cihazı hedeflemek için sürekli olarak yeni güvenlik açıklarından yararlanmaya düzenli olarak geçiş yaparak adapte olarak hayatta kalıyor.
Geçmişte, Oracle WebLogic Server hatalarını (CVE-2019-2725 ve CVE-2017-10271) ve bir Drupal RCE kusurunu (CVE-2018-7600) hedef aldı.
Eylül ayında Muhstik, CVE-2021-26084 aracılığıyla Confluence Sunucularına saldırmaya geçti ve Aralık ayında, savunmasız Apache Log4j dağıtımlarından yararlanmaya odaklandı.
sömürülmesi CVE-2022-0543 Bu ayın başında başladı ve halen devam ediyor.
Bir “Rus” yükü
Muhstik, wget veya curl kullanılarak C2’den indirilen, “/tmp.russ” olarak kaydedilen ve sonunda çalıştırılan yüklerini “russia.sh” olarak adlandırdı.
Komut dosyası, Muhstik botunun türevlerini bir IRC sunucusundan alırken bot, kabuk komutlarının, taşma komutlarının ve SSH kaba kuvvetinin alınmasını ve ayrıştırılmasını destekler.
Geçmişte Muhstik, güvenliği ihlal edilmiş ana bilgisayara bir XMRig madencisi de indirdi, ancak bu son kampanyada görünmüyor.
Sistemlerinizi Muhstik çetesine karşı korumak için Redis paketinizi mevcut en son sürüme güncellediğinizden veya Bionic veya Trusty gibi savunmasız olmayan araçlara geçtiğinizden emin olun.
Daha fazla etki azaltma bilgisi ve güvenlik tavsiyesi için şuraya göz atın: Debian güvenlik danışmanlığı veya Ubuntu’nun güvenlik bülteni konuda.