Το Muhstik botnet, γνωστό και ως Mushtik, είναι ένα botnet που στοχεύει cloud υποδομές και IoT συσκευές εδώ και χρόνια. Η ανάπτυξή του βασίζεται σε χρηματοδότηση που προκύπτει από cryptomining (το οποίο γίνεται με τη χρήση open source εργαλείων, όπως το XMRig και το cgminer).
Ακολουθούν μερικά νέα στοιχεία για το Muhstik botnet και τις δραστηριότητές του.
Αρχικά, τι είναι το Muhstik;
Το Muhstik είναι ένα botnet που χρησιμοποιεί γνωστές ευπάθειες για την παραβίαση IoT συσκευών, με σκοπό το cryptomining.
Επίσης, χρησιμοποιεί IRC servers για τις command-and-control (C2) δραστηριότητές του.
Το Muhstik botnet εμφανίστηκε το 2018, αλλά τον Δεκέμβριο του 2019 η Palo Alto Networks εντόπισε μια νέα παραλλαγή του botnet που στοχεύει Tomato routers.
Σύμφωνα με τους ειδικούς, το Muhstik botnet εκμεταλλεύεται ευπάθειες, όπως τα Oracle WebLogic Server bugs, CVE-2019-2725 και CVE-2017-10271, και το RCE σφάλμα στο Drupal, CVE-2018-7600.
Η εταιρεία Lacework δίνει περισσότερα στοιχεία για το Muhstik botnet:
Μια επίθεση Muhstik εκτελείται σε πολλά στάδια.
Στο πρώτο στάδιο, γίνεται λήψη ενός payload file (με το όνομα “pty” και έναν αριθμό) από τον server του εισβολέα. Η Lacework παρείχε και μερικά παραδείγματα διευθύνσεων URL:
- hxxp: //159.89.156.190/.y/pty2
- hxxp: //167.99.39.134/.x/pty3
“Μετά την επιτυχή εγκατάσταση, το Mushtik θα επικοινωνήσει με το κανάλι IRC για να λάβει εντολές“, λέει ο Chris Hall, ερευνητής ασφάλειας στη Lacework.
Οι IRC servers είναι η C2 υποδομή που τροφοδοτεί το Muhstik botnet.
Στις περισσότερες περιπτώσεις, το Muhstik κατεβάζει το XMRrig miner και ένα module σάρωσης. Η σάρωση γίνεται για την ανάπτυξη του botnet μέσω της στόχευσης άλλων Linux servers και οικιακών routers.
Επιπλέον, σύμφωνα με τους ερευνητές, το Muhstik χρησιμοποιεί τον source code του Mirai για να κρυπτογραφήσει τις διαμορφώσεις του payload και του module σάρωσης μέσω single-byte XOR encryption.
Όσον αφορά στην προέλευση του botnet, ο Hall είπε: “Το IRC C2 irc.de-zahlung.eu βρέθηκε να μοιράζεται ένα SSL cert με το site jaygame.net”.
“Το Jaygame.net είναι ένας ερασιτεχνικό site για ένα παιχνίδι που περιλαμβάνει έναν χαρακτήρα Anime με το όνομα “Jay”. Το site αυτή τη στιγμή χρησιμοποιεί το Google Analytics ID UA-120919167-1“.
Ωστόσο, ο καθένας (ακόμα και ένας εγκληματίας του κυβερνοχώρου) μπορεί να συμπεριλάβει ένα Google Analytics ID ενός νόμιμου site στο δικό του site.
Ένα άλλο domain με αναφορές στο anime, που χρησιμοποιείται από το Muhstik, είναι το pokemoninc.com.
Παρακολουθώντας κι άλλα τέτοια στοιχεία, η Lacework θεωρεί ότι το Muhstik botnet συνδέεται πιθανότατα με μια κινεζική εταιρεία και συγκεκριμένα την Shen Zhou Wang Yun Information Technology Co.
Σύμφωνα με τους ερευνητές, τα πρωτότυπα δείγματα malware μεταφορτώθηκαν στο VirusTotal προτού παρατηρηθούν οι επιθέσεις του Muhstik.
Αυτά τα δείγματα είχαν πολλές συμβολοσειρές που αναφέρονταν στο “shenzhouwangyun”, (π.χ. /home/wys/shenzhouwangyun/shell/downloadFile/tomato.deutschland-zahlung.eu_nvr), το οποίο δείχνει ότι η Shen Zhou Wang Yun είναι πιθανότατα ο δημιουργός του κακόβουλου λογισμικού.