Detección del Botnet Muhstik: La Infame Banda Resurge con Nuevo Comportamiento Atacando Servidores Redis

[post-views]
marzo 29, 2022 · 3 min de lectura
Detección del Botnet Muhstik: La Infame Banda Resurge con Nuevo Comportamiento Atacando Servidores Redis

El botnet Muhstik ha existido desde 2018, expandiendo continuamente el mapa de sus víctimas, atacando nuevos servicios y plataformas, y diversificando su gama de ataques, incluyendo actividades de minería de criptomonedas, llevando a cabo ataques DDoS, o explotando las famosas vulnerabilidades en la biblioteca Java Log4j. Esta vez, la notoria banda de malware ha estado explotando activamente una vulnerabilidad de escape del sandbox de Lua en Redis, identificada como CVE-2022-0543.

Detectar Ataques del Botnet Muhstik

Detecte si su sistema fue comprometido por adversarios de Muhstik con la siguiente regla proporcionada por nuestro desarrollador de Threat Bounty de primer nivel Emir Erdogan. La regla detecta intentos de descarga y ejecución del botnet Muhstik mediante registros de creación de procesos:

Objetivos del Botnet Muhstik en Servidores Redis (mediante la creación de procesos)

Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, y Open Distro.

La regla está alineada con el último marco ATT&CK® de MITRE v.10, abordando las tácticas de Desarrollo de Recursos y Comando y Control con Adquisición de Infraestructura (T1583) y Transferencia de Herramientas de Ingreso (T1105) como las principales técnicas.

Presione el botón Ver Todo para consultar la lista completa de detecciones asociadas con la banda Muhstik y disponibles en el repositorio del Mercado de Detección de Amenazas de la plataforma de SOC Prime.

¿Deseoso de conectarse con los líderes de la industria y desarrollar su propio contenido? Únase a la iniciativa de crowdsourcing de SOC Prime como contribuyente de contenido y comparta sus propias reglas Sigma y YARA con la comunidad global de ciberseguridad mientras fortalece la defensa cibernética colaborativa en todo el mundo.

Ver Detecciones Unirse a Threat Bounty

Análisis del Botnet Muhstik

La banda Muhstik está aprovechando la nueva falla de escape del sandbox de Redis, afectando a los usuarios que ejecutan Redis en Debian, Ubuntu y otras distribuciones basadas en Debian. La vulnerabilidad en cuestión fue detectada el mes pasado, rastreada como CVE-2022-0543, y calificada con 10 de 10 en gravedad. El parche está disponible en la versión 5.6.0.16.-1 del paquete Redis.

Los clientes dan órdenes a un servidor Redis a través de un socket, y el servidor responde cambiando su estado. El motor de scripting de Redis está en el lenguaje de programación Lua, al cual se puede acceder usando el comando eval. El motor de Lua debería estar en un sandbox, lo que significa que los clientes deberían poder comunicarse con las APIs de Redis desde Lua pero no poder ejecutar código arbitrario en la computadora donde opera Redis. La falla CVE-2022-0543 permite a los adversarios ejecutar scripts Lua arbitrarios y escapar del sandbox de Lua para realizar ejecución remota de código en el host objetivo. Luego, los hackers de Muhstik extraen un script shell malicioso “russia.sh” desde un servidor remoto, que descargará y ejecutará binarios del botnet (variantes del bot Muhstik) desde otro servidor.

Unirse plataforma de Detección como Código de SOC Prime para aprovechar el poder de un enfoque de defensa colaborativa y obtener recompensas recurrentes. Además, a la luz de la platform to leverage the power of a collaborative defense approach and reap recurring rewards. Additionally, in the light of the invasión rusa de Ucrania y el creciente número de ciberataques patrocinados por el estado que se remontan a Rusia, SOC Prime ha desbloqueado una gran colección de reglas Sigma gratuitas disponibles en nuestra plataforma de Detección como Código. Las reglas ayudan a los practicantes de defensa cibernética a detectar la actividad maliciosa de organizaciones APT respaldadas por Rusia, cubriendo las tácticas, técnicas y procedimientos (TTPs) más comunes de los adversarios afiliados.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI 2 min de lectura Plataforma SOC Prime La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI by Steven Edwards Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore 4 min de lectura Últimas Amenazas Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore by Veronika Telychko Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas 5 min de lectura Últimas Amenazas Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas by Veronika Telychko
Todas las noticias