Компания Aqua Nautilus обнаружила новую кампанию вредоносного ПО Muhstik, которая нацелена на платформу служб очередей сообщений - Apache RocketMQ. Было выявлено, что злоумышленники эксплуатировали известную уязвимость в RocketMQ, загружая вредоносную программу Muhstik на скомпрометированные экземпляры.
RocketMQ - это облачно-ориентированная платформа для распределенного обмена сообщениями и потоковой передачи данных. Она была первоначально разработана компанией Alibaba с открытым исходным кодом и затем передана в Apache Software Foundation. RocketMQ получила широкое распространение среди корпоративных разработчиков и облачных вендоров благодаря своей простой архитектуре, богатой функциональности и высокой масштабируемости. Она состоит из нескольких ключевых компонентов, таких как Producers, Consumers, NameServers и Brokers, которые работают вместе для обеспечения обмена сообщениями и потоковыми возможностями.
Уязвимость удаленного выполнения кода CVE-2023-33246 была обнаружена в RocketMQ версий 5.1.0 и ниже. Злоумышленники могут использовать эту уязвимость, так как элементы RocketMQ, такие как NameServer, Broker и Controller, доступны из экстранета без проверки прав доступа. Уязвимость позволяет злоумышленникам выполнять команды в системе с привилегиями пользователей, используемых в RocketMQ. Инициализация узла Broker на узле NameServer позволяет злоумышленникам использовать функцию обновления конфигурации, что открывает дверь для этих атак.
Также была обнаружена десятка атак на RocketMQ honeypots, при которых загружалось вредоносное ПО Muhstik. Muhstik известен своей способностью заражать устройства и использовать их для майнинга криптовалюты и DDoS-атак типа "отказ в обслуживании". Подобие с атаками от инфицированного ПО Mirai также было замечено, поскольку исходный код Mirai был опубликован хакером в 2016 году и широко использовался киберпреступниками.
Обобщая, уязвимость в платформе Apache RocketMQ позволяет злоумышленникам удаленно выполнять код на уязвимых экземплярах. Вредоносная программа Muhstik заражает устройства, используя эту уязвимость, и использует их для майнинга криптовалюты и DDoS-атак. Злоумышленники активно атакуют уязвимые экземпляры RocketMQ, поэтому необходимо обновить платформу или принять другие меры для защиты от этих атак.
Indicators of Compromise
IPv4
- 138.197.78.18
- 139.159.192.50
- 139.180.185.248
- 161.35.219.184
- 194.59.165.52
- 51.79.19.53
- 54.36.49.151
- 89.36.76.38
- 89.36.76.42
- 91.148.224.34
- 91.200.43.22
- 94.224.82.40
Domains
- p.deutschland-zahlung.eu
- p.de-zahlung.eu
- p.findmeatthe.top
- p.shadow-mods.net
SHA256
- 176c57e3fa7da2fb2afcd18242b79e5881c2244f5ab836897d4846885f1bd993
- 1f9cda58cea6c8dd07879df3e985499b18523747482e8f7acd6b4b3a82116957
- 6730eb04edf45d590939d7ba36ca0d4f1d2f28a2692151e3c631e9f2d3612893
- 86947b00a3d61b82b6f752876404953ff3c39952f2b261988baf63fbbbd6d6ae
- 9e28f942262805b5fb59f46568fed53fd4b7dbf6faf666bedaf6ff22dd416572
- a7bf3c031ab66265ce724fc26c8f7565442a098b06b01ea8871f13179d168713