La botnet Muhstik, también conocida como Mushtik, ha estado apuntando a la infraestructura de la nube y al IoT durante años.
La botnet se financia principalmente mediante la extracción de criptomonedas utilizando herramientas de código abierto como XMRig y cgminer.
Han surgido nuevos detalles sobre este malware que arrojan luz sobre sus nefastas actividades y orígenes.
¿Qué es Muhstik?
Muhstik es una red de bots que explota vulnerabilidades de aplicaciones web conocidas para comprometer dispositivos IoT, como enrutadores, con el fin de extraer criptomonedas.
Utiliza servidores IRC para sus actividades de mando y control (C2).
Aunque la red de bots Muhstik existe desde al menos 2018, en diciembre de 2019 Palo Alto Networks había identificado una nueva variante de la red de bots que atacaba y se apoderaba de los enrutadores Tomato.
Algunas de las vulnerabilidades explotadas por Muhstik incluyen los errores de Oracle WebLogic Server (CVE-2019-2725 y CVE-2017-10271) y la falla Drupal RCE (CVE-2018-7600).
Hoy, la empresa de seguridad en la nube Lacework proporcionó análisis e información adicionales sobre Muhstik.
Un ataque Muhstik se ejecuta en varias etapas.
Primero, se descarga del servidor del atacante un archivo de carga útil con el nombre «pty» seguido de un número. Ejemplos de URL proporcionadas por Lacework:
hxxp://159.89.156.190/.y/pty2
hxxp://167.99.39.134/.x/pty3
“Después de una instalación exitosa, Mushtik se comunicará con el canal IRC para recibir comandos”, dice Chris Hall, investigador de seguridad en la nube de Lacework.
Los servidores IRC son la infraestructura C2 que alimenta la botnet Muhstik.
«Por lo general, Muhstik será responsable de descargar un minero XMRrig y un módulo de análisis. El módulo de análisis se usa para expandir la botnet apuntando a otros servidores Linux y enrutadores domésticos», continuó Hall.
Usos de Muhstik Mirai código fuente para cifrar su carga útil y las configuraciones del módulo de análisis a través del cifrado XOR de un solo byte.
Lacework explica que los archivos de muestra que contienen datos de configuración de Muhstik tienden a contener la siguiente secuencia de bytes: 4F 57 4A 51 56 4B 49 0F.
Este es el valor XOR equivalente (por 0x22) de la palabra clave «muhstik» que se puede identificar en los archivos binarios desempaquetados.
Atribución extraña y referencias de ‘anime’
Sin embargo, surgen detalles más interesantes a medida que los investigadores de Lacework intentan rastrear los orígenes de la botnet.
“Se descubrió que el IRC C2 irc.de-zahlung.eu compartía un certificado SSL con el sitio jaygame.net”, dice Hall.
«Jaygame.net es un sitio de pasatiempos sobre un juego que involucra a un personaje de anime llamado ‘Jay’. El sitio actualmente utiliza el ID de Google Analytics UA-120919167-1».
Se encontró que este ID de escaneo estaba asociado con otros dos dominios: fflyy.su y kei.su.
En las pruebas de BleepingComputer, observamos que el identificador de Analytics declarado estaba presente en jaygame.net pero no en los otros dos dominios.
ID de Google Analytics presente en el dominio Jaygame.net
Fuente: BleepingComputer
Sin embargo, debe tenerse en cuenta que cualquier persona, incluido un actor malicioso, puede incrustar una identificación de Google Analytics de un sitio web legítimo en su propio sitio web.
Otro dominio con referencias al anime utilizado por Muhstik es pokemoninc.com. Mientras que Kei (en kei.su) también podría ser una referencia a un personaje de anime, según Lacework.
Siguiendo correlaciones similares, Lacework rastreó el origen de Muhstik hasta una sociedad forense china.
“Todos estos tienen enlaces a la misma ruta de descarga de malware propiedad de la empresa forense china Shen Zhou Wang Yun Information Technology Co., Ltd”, explica la publicación de su blog.
Correlaciones Muhstik observadas por Lacework
Además, Lacework menciona que las muestras de malware originales se cargaron en VirusTotal todas a la vez antes de que se vieran los ataques de Muhstik.
Estas muestras tenían varias cadenas que mencionaban «shenzhouwangyun», como en /home/wys/shenzhouwangyun/shell/downloadFile/tomato.deutschland-zahlung.eu_nvr
Esto indica que «Shen Zhou Wang Yun es probablemente la fuente del malware y no solo el primer usuario», sugirió Hall.
En el pasado, los investigadores también vincularon a Shen Zhou Wang Yun con el malware HiddenWasp Linux.
Lacework ha proporcionado los Indicadores de Compromiso (IOC) actualizados de Muhstik en un CSV.
