O botnet de negação de serviço distribuído (DDoS) conhecido como Muhstik foi observado explorando uma falha de segurança recentemente corrigida no Apache RocketMQ para comprometer servidores vulneráveis e ampliar seu alcance. O Muhstik, documentado pela primeira vez em 2018, é notório por infectar dispositivos IoT e servidores baseados em Linux, utilizando-os para mineração de criptomoedas e ataques DDoS.
A falha mais recente explorada é a CVE-2023-33246, uma vulnerabilidade crítica que permite a execução remota de código sem autenticação. O objetivo final do malware é usar os dispositivos comprometidos para realizar diferentes tipos de ataques de inundação contra alvos específicos, sobrecarregando seus recursos de rede e causando uma condição de negação de serviço.
Mesmo após mais de um ano da divulgação pública da falha, 5.216 instâncias vulneráveis do Apache RocketMQ ainda estão expostas na internet, destacando a necessidade de atualização para a versão mais recente. Campanhas anteriores também detectaram atividades de mineração de criptomoedas após a execução do malware Muhstik. Os atacantes buscam espalhar e infectar mais máquinas para aumentar a mineração usando a energia elétrica dos dispositivos comprometidos.
Fonte: BoletimSec
