blank

blank

[TLP:CLEAR]

Última Atualização: 21/12/2023

Resumo:

A equipe de cyber threat intelligence do IDCiber realizou uma investigação sobre a atividade da botnet Muhstik. A investigação revelou que o botnet está ativo e está sendo usado para infectar servidores com malware, realizar ataques DDoS e roubar dados.

Relatos iniciais de atividade da Muhstik botnet direcionando ataques DDoS a infraestruturas brasileiras utilizando a vulnerabilidade cve-2018-7600 no Drupal e possívelmente em WordPress.

Confirmação e informações adicionais de outros setores são necessárias para avaliar a extensão e o impacto potenciais no Brasil.

blank
2.58.56.132.powered.by.rdp.sh

Detalhes Técnicos

A investigação identificou os seguintes métodos usados pelo Muhstik para infectar sites WordPress/Drupal:

    • Exploração de vulnerabilidades no WordPress: O Muhstik usa exploits para explorar vulnerabilidades conhecidas no WordPress. A vulnerabilidade mais comum usada pelo Muhstik é a CVE-2018-7600, uma vulnerabilidade de cross-site scripting (XSS) no módulo de comentários do WordPress.
    • Injeção de código: O Muhstik pode injetar código malicioso em sites WordPress por meio de ataques de injeção de SQL ou código.
    • Download de malware: O Muhstik pode baixar malware de um servidor remoto e executá-lo no site WordPress infectado.
    • Propagação de Worm: O Muhstik pode se propagar por meio de um exploit da vulnerabilidade cve-2018-7600 no Drupal. O exploit baixa o binário do Muhstik do servidor remoto e o executa. O Muhstik também pode se propagar por meio de um dropper de arquivo executável.
    • Persistência: O Muhstik pode se instalar como um serviço do sistema para garantir que ele seja iniciado automaticamente após uma reinicialização.
    • Mineração de criptomoedas: O Muhstik usa o minerador Xmrig para minerar moedas de criptomoeda XMR. Ele também usa o minerador Cgminer para minerar moedas de criptomoeda BTC.
    • Ataques DDoS: O Muhstik pode ser usado para lançar ataques DDoS sob o comando do proprietário.
    • Verificação de vulnerabilidades: O Muhstik possui um verificador de vulnerabilidades que pode ser usado para identificar outros servidores vulneráveis.
    • Força bruta SSH: O Muhstik pode ser usado para realizar ataques de força bruta SSH para obter acesso a servidores com senhas fracas.
    • Comando e Controle: O Muhstik usa canais de IRC para comunicação com o servidor de comando e controle. O servidor de comando e controle pode ser usado para controlar o botnet e enviar comandos ao Muhstik.

Impacto

A exploração ativa do botnet Muhstik pode causar uma série de danos, incluindo:

  • Infecção de servidores com malware: O Muhstik pode infectar servidores com malware, como mineradores de criptomoedas, backdoors e ransomware.
  • Perda de dados: O malware instalado pelo Muhstik pode roubar dados do servidor infectado.
  • Ataques DDoS: O Muhstik pode ser usado para lançar ataques DDoS contra redes ou sites.

Recomendações

As organizações devem tomar as seguintes medidas para se proteger contra a exploração do botnet Muhstik:

  • Atualizar o Drupal para a versão 9.3.x ou posterior: A versão 9.3.x do Drupal corrige a vulnerabilidade cve-2018-7600.
  • Atualizar o WordPress para a versão mais recente: A versão mais recente do WordPress corrige as vulnerabilidades conhecidas que são usadas pelo Muhstik para infectar sites.
  • Instalar um plugin de segurança: Um plugin de segurança pode ajudar a detectar e bloquear ataques contra o WordPress.
  • Instalar um firewall para bloquear o tráfego de entrada e saída não autorizado: Um firewall pode ajudar a impedir que o Muhstik se conecte a servidores remotos.
  • Usar uma solução de segurança cibernética para detectar e remover malware: Uma solução de segurança cibernética pode ajudar a detectar e remover o Muhstik caso ele infecte um servidor.
  • Atualizar regras de WAF: manter o WAF em modo block para Drupal e WordPress.

Capacidade DDoS para atacar redes sob comando do proprietário

Realiza varreduras de vulnerabilidade para explorações e espalhar o muhstick para outros servidores vulneráveis, força bruta SSH para obter acesso a servidores com senhas fracas e Comando e Controle baseado em IRC.

O 360Netlab também encontrou nomes de domínio relacionados ao Muhstik que datam de 2016. Isso sugere que o botnet (ou uma variante dele) pode já existir há vários anos.

Em 28 de março de 2018, drupal lançou um patch para CVE-2018-7600 de 13 de abril de 2018, 360Netlab observou um grande número de varreduras na Internet contra esta vulnerabilidade.

Em 20 de abril de 2018, o 360Netlab divulgou informações sobre o botnet muhstick.

Recomendamos manter o WordPress atualizado e utilizar um WAF em modo Block.

blank
Fonte: sysdig

Indicadores de Compromisso

Lista Muhstik C2

139.99.101.96 AS16276 OVH SAS
144.217.84.99 AS16276 OVH SAS
145.239.84.0 AS16276 OVH SAS
147.135.210.184 AS16276 OVH SAS
142.44.163.168 AS16276 OVH SAS
192.99.71.250 AS16276 OVH SAS
142.44.240.14 AS16276 OVH SAS
121.128.171.44 AS4766 Korea Telecom #Não ativo agora
66.70.190.236 AS16276 OVH SAS #Não ativo agora
145.239.93.125 AS16276 OVH SAS
irc.de-zahlung.eu:9090 #Não ativo agora

Observação do DCiber.org

2.58.56.132 / 2.58.56.132.powered.by.rdp.sh

blank
https://www.abuseipdb.com/check/2.58.56.132?page=1#report

40.77.188.132 AS8075 MICROSOFT-CORP-MSN-AS-BLOCK

blank
https://www.abuseipdb.com/check/2.58.56.132?page=1#report

188.165.136.136 AS16276 OVH

blank
https://www.abuseipdb.com/check/188.165.136.136

142.44.187.238 AS16276 OVH

blank
https://www.abuseipdb.com/check/142.44.187.238

Conclusão

A atividade da botnet Muhstik no WordPress e Drupal é uma ameaça significativa para as organizações. As organizações que usam o WordPress ou Drupal devem tomar as medidas recomendadas para se proteger contra essa ameaça.

Esperamos que este relatório seja útil para a compreensão da potencial atividade da Muhstik no Brasil e a tomada de medidas de segurança apropriadas.

[TLP:CLEAR]

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor