نوع جدید باتنت Muhstik که اخیراً مشاهده شده است از آسیبپذیری اخیر سرور WebLogic اوراکل برای حملات منع سرویس توزیعشده و استخراج رمزارز بهرهبرداری میکند. این آسیبپذیری بحرانی که با شناسهی CVE-2019-2725 ردیابی میشود و بهتازگی وصله شده است، امکان اجرای دستورات از راه دور را فراهم میکند و قبل از انتشار وصله در حملات از آن بهرهبرداری شده است.
مدت کمی پس از افشای عمومی این آسیبپذیری و انتشار کد اثبات مفهومی، سازمانهای امنیتی مشاهده کردند که حملات جدید آن را هدف قرار میدهند. بهگفتهی Palo Alto Networks نسخهی جدید باتنت Muhstik در طول آخرهفته ظهور کرد که تلاش میکند تا از همان آسیبپذیری WebLogic برای آلوده کردن سیستمها استفاده کند. Muhstik سرورهای لینوکس و دستگاههای اینترنت اشیاء را هدف قرار میدهد تا از آنها برای استخراج رمزارز یا حملات منع سرویس توزیعشده سوءاستفاده کند.
باتنت مشاهدهشده از چند بهرهبرداری مختلف برای اهداف آلودهسازی استفاده میکند که برخی از آنها آسیبپذیریهای وردپرس و دروپال را هدف قرار میدهند. همچنین تلاش میکند تا از یک آسیبپذیری WebLogic قدیمی با شناسهی CVE-2017-10271 بهرهبرداری کند. این حملات که آسیبپذیری WebLogic جدید با شناسهی CVE-2019-2725 را هدف قرار میدهد نشاندهندهی یک بار دادهی بهرهبرداری است که شامل دستور شِل برای بارگیری یک فایل پیاِچپی از آدرس آیپی ۱۶۵٫۲۲۷٫۷۸٫۱۵۹ است.
پیش از این، این باتنت از آدرس آیپی ۱۶۵٫۲۲۷٫۷۸٫۱۵۹ بهعنوان یک سرور گزارشدهی استفاده میکرد تا اطلاعات باتها را جمعآوری کند. باتنت Muhstik درحالحاضر از آسیبپذیری اجرای کد از راه دور wls9-async مربوط به WebLogic اوراکل استفاده میکند و به احتمال زیاد سایر خانوادههای بدافزاری نیز در آینده از آن بهرهبرداری خواهند کرد.
