Rilevamento del Botnet Muhstik: La Famosa Gang Riappare con un Nuovo Comportamento Attaccando i Server Redis
Indice:
Il botnet Muhstik è stato attivo dal 2018, espandendo continuamente la mappa delle sue vittime, colpendo nuovi servizi e piattaforme, e diversificando la gamma dei suoi attacchi, tra cui attività di mining di criptovalute, esecuzione di attacchi DDoS o sfruttamento delle famigerate vulnerabilità nella libreria Java Log4j. Questa volta, la famigerata gang di malware ha sfruttato attivamente una vulnerabilità di escape della sandbox di Lua in Redis, tracciata come CVE-2022-0543.
Rileva Attacchi del Botnet Muhstik
Rileva se il tuo sistema è stato compromesso dagli avversari di Muhstik con la seguente regola fornita dal nostro sviluppatore di punta del Threat Bounty Emir Erdogan. La regola rileva i tentativi di scaricare ed eseguire il botnet Muhstik tramite i log di creazione dei processi:
Il Botnet Muhstik prende di mira i server Redis (tramite process_creation)
Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB e Open Distro.
La regola è allineata con l’ultima versione 10 del framework MITRE ATT&CK®, indirizzando le tattiche di Sviluppo delle Risorse e Comando e Controllo con Acquisizione Infrastruttura (T1583) e Trasferimento di Strumenti di Ingresso (T1105) come principali tecniche.
Premi il pulsante Visualizza tutto per controllare l’elenco completo delle rilevazioni associate alla gang Muhstik e disponibili nel repository del Threat Detection Marketplace della piattaforma di SOC Prime.
Desideri connetterti con i leader del settore e sviluppare i tuoi contenuti? Unisciti all’iniziativa crowdsourced di SOC Prime come contributore di contenuti e condividi le tue regole Sigma e YARA con la comunità globale della cybersecurity mentre rafforzi la difesa informatica collaborativa a livello mondiale.
Visualizza Rilevamenti Unisciti a Threat Bounty
Analisi del Botnet Muhstik
La gang Muhstik sta sfruttando il nuovo difetto di escape sandbox di Redis, che colpisce gli utenti che eseguono Redis su Debian, Ubuntu e altre distro basate su Debian. La vulnerabilità in questione è stata individuata il mese scorso, tracciata come CVE-2022-0543, e valutata 10 su 10 per gravità. La patch è disponibile nella versione 5.6.0.16.-1 del pacchetto Redis.
I clienti inviano comandi a un server Redis tramite un socket, e il server risponde cambiando il suo stato. Il motore di scripting di Redis è nel linguaggio di programmazione Lua, accessibile utilizzando il comando eval. Il motore Lua dovrebbe essere sandboxato, il che significa che i clienti dovrebbero poter comunicare con le API di Redis da Lua ma non essere in grado di eseguire codice arbitrario sul computer dove Redis sta operando. Il difetto CVE-2022-0543 consente agli avversari di eseguire script Lua arbitrari e di sfuggire alla sandbox di Lua per eseguire codice remoto sul sistema di destinazione. Poi gli hacker di Muhstik recuperano un script shell malevolo “russia.sh” da un server remoto, che scaricherà ed eseguirà ulteriori binari del botnet (varianti di Muhstik) da un altro server.
Unisciti alla piattaforma Detection as Code di SOC Prime per sfruttare il potere di un approccio di difesa collaborativo e raccogliere ricompense ricorrenti. Inoltre, alla luce dell’ platform to leverage the power of a collaborative defense approach and reap recurring rewards. Additionally, in the light of the invasione russa dell’Ucraina e del crescente numero di attacchi informatici sponsorizzati dallo stato rintracciati fino alla Russia, SOC Prime ha sbloccato una vasta collezione di regole Sigma gratuite disponibili nella nostra piattaforma Detection as Code. Le regole aiutano i professionisti della difesa informatica a rilevare attività malevole delle organizzazioni APT supportate dalla Russia, coprendo le tattiche, tecniche e procedure (TTP) più comuni degli avversari affiliati.
