Muhstik Botnet IOCs

botnet IOC

Juniper Threat Labs обнаружила атаку, направленную на серверы Redis с использованием недавно раскрытой уязвимости CVE-2022-0543. Эта уязвимость существует в некоторых пакетах Redis Debian. Атака началась 11 марта 2022 года от того же агента угроз, который был замечен в атаках на серверы confluence в сентябре 2021 года и той же группой, которая атаковала Log4j в декабре. В качестве полезной нагрузки используется вариант бота Muhstik, который может быть использован для проведения DDOS-атак.

Muhstik эксплуатирует следующие уязвимости:
  • CVE-2022-0543 (оценка CVSS 8.1 балла) - Выполнение произвольного кода в Redis package for Debian Linux
  • CVE-2017-10271 (оценка CVSS 7,5 балла) – уязвимость проверки вводимых данных в компоненте Oracle WebLogic Server пакета программ Oracle Fusion Middleware;
  • CVE-2018-7600 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Drupal;
  • CVE-2019-2725 (оценка CVSS 9,8 балла) – уязвимость удаленного выполнения кода в Oracle WebLogic Server;
  • CVE-2021-26084 (оценка CVSS 9,8 балла) – уязвимость инъекции OGNL (Object-Graph Navigation Language) в Atlassian Confluence;
  • CVE-2021-44228 (оценка CVSS 10,0 балла) – уязвимость удаленного выполнения кода в Apache Log4j (Log4Shell).

Indicators of Compromise

IPv4

  • 106.246.224.219
  • 160.16.58.163

SHA256

  • 4817893f8e724cbc5186e17f46d316223b7683dcbc9643e364b5913f8d2a9197
  • 46389c117c5f41b60e10f965b3674b3b77189b504b0aeb5c2da67adf55a7129f
  • 95d1fca8bea30d9629fdf05e6ba0fc6195eb0a86f99ea021b17cb8823db9d78b
  • 7d3855bb09f2f6111d6c71e06e1e6b06dd47b1dade49af0235b220966c2f5be3
  • 16b4093813e2923e9ee70b888f0d50f972ac607253b00f25e4be44993d263bd2
  • 28443c0a9bfd8a12c12a2aad3cc97d2e8998a9d8825fcf3643d46012f18713f0
  • 36a2ac597030f3f3425153f5933adc3ca62259c35f687fde5587b8f5466d7d54

Attacker IP

  • 104.236.150.159
  • 170.210.45.163
  • 146.185.136.187
  • 178.62.69.4
  • 191.232.38.25
  • 79.172.212.132
  • 221.120.103.253
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий