Muhstikボットネットの検出：Redisサーバーを攻撃する新たな行動で悪名高いギャングが再浮上

Muhstikボットネットは2018年以来存在しており、被害者の地図を絶えず拡大し、新しいサービスやプラットフォームを攻撃し、コインマイニング活動、DDoS攻撃の実行、または悪名高い脆弱性を悪用するなど、多様な攻撃を展開しています。 Log4j Javaライブラリです。今回は、悪名高いマルウェア集団がRedisのLuaサンドボックスエスケープ脆弱性を積極的に悪用しており、CVE-2022-0543として追跡されています。

Muhstikボットネット攻撃の検出

Muhsticの敵によってシステムが侵害されたかどうかは、私たちのトップクラスのThreat Bounty開発者 Emir Erdoganによって提供された以下のルールで検出できます。このルールは、プロセス作成ログを通じてMuhstikボットネットのダウンロードと実行の試みを検出します：

MuhstikボットネットはRedisサーバーをターゲットにしています（process_creation経由）

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、RSA NetWitness、Microsoft Defender ATP、Apache Kafka ksqlDB 、Open DistroなどのSIEM、EDR、XDRプラットフォームに対する翻訳があります。

このルールは最新のMITRE ATT&CK®フレームワークv.10に準拠しており、リソース開発とコマンドと制御の戦術に関連するインフラストラクチャの取得（T1583）と入力ツール移転（T1105）を主な技術として対処しています。

Muhstik集団に関連する検出の完全なリストを確認するには、SOC PrimeのプラットフォームのThreat Detection Marketplaceリポジトリで「すべて表示」ボタンを押してください。

業界リーダーとつながり、独自のコンテンツを開発したいですか？SOC Primeのクラウドソースイニシアチブにコンテンツ投稿者として参加し、グローバルなサイバーセキュリティコミュニティとSigmaおよびYARAのルールを共有し、世界中の協力的なサイバー防御を強化しましょう。

検出の表示 Threat Bountyに参加

Muhstikボットネット分析

Muhstik集団は、Redisサンドボックスエスケープの新しい欠陥を利用しており、Debian、Ubuntu、その他のDebianベースのディストリビューションでRedisを実行しているユーザーに影響を与えています。問題の脆弱性は先月発見され、 CVE-2022-0543として追跡され、その深刻度は10点満点中10と評価されています。このパッチはRedisパッケージバージョン5.6.0.16.-1で利用可能です。

クライアントはRedisサーバーにソケットを介してコマンドを送り、サーバーは状態を変更することで応答します。RedisのスクリプトエンジンはLuaプログラミング言語であり、evalコマンドを使用してアクセスできます。Luaエンジンはサンドボックス化されているべきで、クライアントがLuaからRedis APIに通信できる一方で、Redisが稼働しているコンピュータで任意のコードを実行できないようにするべきです。CVE-2022-0543の欠陥により、敵対者は任意のLuaスクリプトを実行し、Luaサンドボックスを脱出してターゲットホストでのリモートコード実行を行うことができます。次に、Muhstikハッカーはリモートサーバーから悪意のあるシェルスクリプト「russia.sh」を取得し、別のサーバーからボットネットバイナリ（Muhstikボットのバージョン）をさらにダウンロードして実行します。

参加 SOC PrimeのDetection as Code プラットフォームに参加し、協力的な防御アプローチの力を活用し、定期的な報酬を得ましょう。加えて、 ウクライナへのロシア侵攻 とロシアに起因する国家支援によるサイバー攻撃の増加を受け、SOC Primeは 無料のSigmaルール の大規模なコレクションをDetection as Codeプラットフォームで公開しました。これらのルールは、ロシア支援のAPT組織の悪意のある活動を検出するために、サイバー防衛実践者を支援し、関連する敵対者の最も一般的な戦術、技術、および手順（TTP）をカバーします。