Détection du botnet Muhstik : le célèbre gang refait surface avec un nouveau comportement attaquant les serveurs Redis

[post-views]
mars 29, 2022 · 4 min de lecture
Détection du botnet Muhstik : le célèbre gang refait surface avec un nouveau comportement attaquant les serveurs Redis

Le botnet Muhstik existe depuis 2018, élargissant continuellement la carte de ses victimes, touchant de nouveaux services et plateformes, et diversifiant sa gamme d’attaques, y compris les activités de minage de crypto-monnaies, le lancement d’attaques DDoS ou l’exploitation des vulnérabilités tristement célèbres dans la bibliothèque Java Log4j. Cette fois, le gang de malware notoire a activement exploité une vulnérabilité de l’évasion du bac à sable Lua dans Redis, suivie sous le code CVE-2022-0543.

Détecter les attaques du Botnet Muhstik

Détectez si votre système a été compromis par les adversaires de Muhstik à l’aide de la règle suivante fournie par notre développeur Threat Bounty de premier plan Emir Erdogan. La règle détecte les tentatives de téléchargement et d’exécution du botnet Muhstik via les journaux de création de processus :

Cibles du Botnet Muhstik : Serveurs Redis (via création de processus)

Cette détection a des traductions pour les plateformes SIEM, EDR & XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB, et Open Distro.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant les tactiques de Développement des Ressources et de Commande et Contrôle avec Acquérir des Infrastructures (T1583) et Transfert d’outils d’entrée (T1105) comme les techniques principales.

Appuyez sur le bouton Voir tout pour consulter la liste complète des détections associées au gang Muhstik et disponibles dans le dépôt de la Marketplace de détection des menaces de la plateforme SOC Prime.

Envie de vous connecter avec les leaders de l’industrie et de développer votre propre contenu ? Rejoignez l’initiative collaborative de SOC Prime en tant que contributeur de contenu et partagez vos propres règles Sigma et YARA avec la communauté mondiale de la cybersécurité tout en renforçant la défense cybernétique collaborative dans le monde entier.

Voir les Détections Rejoindre Threat Bounty

Analyse du Botnet Muhstik

Le gang Muhstik exploite la nouvelle faille d’évasion du bac à sable de Redis, affectant les utilisateurs qui exécutent Redis sur Debian, Ubuntu et d’autres distributions basées sur Debian. La vulnérabilité en question a été détectée le mois dernier, suivie sous CVE-2022-0543, et notée 10 sur 10 en termes de gravité. Le correctif est disponible dans la version 5.6.0.16.-1 du paquet Redis.

Les clients donnent des commandes à un serveur Redis via un socket, et le serveur répond en modifiant son état. Le moteur de script de Redis est en langage de programmation Lua, qui peut être accédé en utilisant la commande eval. Le moteur Lua devrait être dans un bac à sable, ce qui signifie que les clients devraient pouvoir communiquer avec les API de Redis à partir de Lua mais ne devraient pas être capables d’exécuter du code arbitraire sur l’ordinateur où Redis fonctionne. Le défaut CVE-2022-0543 permet aux adversaires d’exécuter des scripts Lua arbitraires et de sortir du bac à sable Lua pour effectuer une exécution de code à distance sur l’hôte cible. Ensuite, les pirates Muhstik récupèrent un script shell malveillant “russia.sh” à partir d’un serveur distant, lequel téléchargera et exécutera ultérieurement des binaires de botnet (variantes du bot Muhstik) depuis un autre serveur.

Rejoindre la plateforme SOC Prime’s Detection as Code pour tirer parti de l’approche collaborative de la défense et récolter des récompenses récurrentes. De plus, à la lumière de l’invasion russe de l’Ukraine et du nombre croissant de cyber-attaques soutenues par l’État et attribuées à la Russie, SOC Prime a débloqué une vaste collection de règles Sigma gratuites disponibles dans notre plateforme Detection as Code. Les règles aident les praticiens de la défense cybernétique à détecter l’activité malveillante des organisations APT soutenues par la Russie, couvrant les tactiques, techniques et procédures (TTP) les plus courantes des adversaires affiliés.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande 3 min de lecture Plateforme SOC Prime Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande by Steven Edwards Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore 5 min de lecture Dernières Menaces Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore by Veronika Telychko Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes 5 min de lecture Dernières Menaces Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes by Veronika Telychko
Toutes les actualités