Detecção do Botnet Muhstik: Gangue Notória Ressurge com Novo Comportamento Atacando Servidores Redis

[post-views]
Março 29, 2022 · 4 min de leitura
Detecção do Botnet Muhstik: Gangue Notória Ressurge com Novo Comportamento Atacando Servidores Redis

O botnet Muhstik está ativo desde 2018, expandindo continuamente o mapa de suas vítimas, atingindo novos serviços e plataformas, e diversificando sua gama de ataques, incluindo atividades de mineração de moedas, execução de ataques DDoS e exploração das infames vulnerabilidades na biblioteca Java Log4j. Desta vez, a notória gangue de malware tem explorado ativamente uma vulnerabilidade de escape de sandbox em Lua no Redis, rastreada como CVE-2022-0543.

Detectar Ataques do Botnet Muhstik

Detecte se seu sistema foi comprometido por adversários Muhstic com a seguinte regra fornecida por nosso desenvolvedor Threat Bounty de primeira linha Emir Erdogan. A regra detecta tentativas de download e execução do botnet Muhstik via logs de criação de processos:

Alvos do Botnet Muhstik Servidores Redis (via criação_processos)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Microsoft Defender ATP, Apache Kafka ksqlDB e Open Distro.

A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando as táticas de Desenvolvimento de Recursos e Comando e Controle com as técnicas de Adquirir Infraestrutura (T1583) e Transferência de Ferramenta de Ingresso (T1105) como principais.

Pressione o botão Ver Tudo para conferir a lista completa de detecções associadas à gangue Muhstik, disponível no repositório Threat Detection Marketplace da plataforma da SOC Prime.

Interessado em se conectar com líderes do setor e desenvolver seu próprio conteúdo? Junte-se à iniciativa de crowdsourcing da SOC Prime como um colaborador de conteúdo e compartilhe suas próprias regras Sigma e YARA com a comunidade global de cibersegurança enquanto fortalece a defesa cibernética colaborativa em todo o mundo.

Ver Detecções Junte-se ao Threat Bounty

Análise do Botnet Muhstik

A gangue Muhstik está aproveitando a nova falha de escape de sandbox do Redis, afetando usuários que executam Redis em Debian, Ubuntu e outras distros baseadas em Debian. A vulnerabilidade em questão foi identificada no mês passado, rastreada como CVE-2022-0543, e classificada com severidade 10 de 10. O patch está disponível na versão do pacote Redis 5.6.0.16.-1.

Clientes enviam comandos a um servidor Redis por um soquete, e o servidor responde alterando seu estado. O mecanismo de script do Redis é na linguagem de programação Lua, que pode ser acessado usando o comando eval. O motor Lua deve ser isolado, o que significa que os clientes devem se comunicar com as APIs do Redis a partir do Lua, mas não conseguir executar código arbitrário no computador onde o Redis está operando. A falha CVE-2022-0543 permite que adversários executem scripts Lua arbitrários e escapem do sandbox Lua para realizar execução remota de código no host alvo. Em seguida, os hackers Muhstik buscam um script shell malicioso “russia.sh” de um servidor remoto, que fará o download e executará binários de botnet (variantes de bot Muhstik) de outro servidor.

Junte-se à plataforma de Detecção como Código da SOC Prime para aproveitar o poder da abordagem de defesa colaborativa e colher recompensas recorrentes. Além disso, à luz da invasão russa da Ucrânia e do crescente número de ataques cibernéticos patrocinados pelo estado rastreados na Rússia, a SOC Prime desbloqueou uma grande coleção de regras Sigma gratuitas disponíveis em nossa plataforma Detecção como Código. As regras ajudam profissionais de defesa cibernética a detectar a atividade maliciosa de organizações APT com apoio da Rússia, cobrindo as táticas, técnicas e procedimentos (TTPs) mais comuns dos adversários afiliados.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas