Sikkerhedsforskere opdagede en ny trussel, der truer Linux-servere. Kaldt DreamBus, botnet er en ny variant af en tidligere kendt malware kendt som SystemdMiner. Det er bemærkelsesværdigt, at DreamBus er mere udviklet sammenlignet med SystemdMiner.
Zscaler-forskere advarer om, at DreamBus botnet er målrettet mod apps på virksomhedsniveau, der kører på Linux-systemer. Nogle apps, der er i fare, inkluderer PostgreSQL, Redis, Hadoop GARN, Apache Spark, HashiCorp konsul, SaltStack, og SSH-tjenesten.
Angrebsscenarier inkluderer brutale kraftangreb mod standardadmin-brugernavne, eksponerede API-slutpunkter, og udnyttelse til ældre sårbarheder. ”DreamBus ser ud til at være placeret i Rusland eller Østeuropa baseret på tidspunktet for implementering af nye kommandoer,”Advarer forskerne.
DreamBus Botnet Specifikationer
Zscaler siger, at botnet viser ormlignende opførsel, takket være hvilken det spreder sig meget vellykket over internettet. Det er også i stand til lateral distribution gennem et internt netværk via adskillige andre metoder såsom udnyttelse af svage adgangskoder, uautoriseret, fejl i fjernudførelse af kode i applikationer såsom SSH og IT-administrationsværktøjer, skybaserede apps, og databaser.
Hvorfor retter DreamBus botnetoperatører sig mod disse typer applikationer?
”Disse bestemte applikationer er målrettet, fordi de ofte kører på systemer, der har kraftig underliggende hardware med betydelige mængder hukommelse og kraftige CPU'er - som alle giver trusselsaktører mulighed for at maksimere deres evne til at tjene penge på disse ressourcer gennem minedrift-kryptokurrency.," rapporten forklarer.
Hvad er det ondsindede formål med BreamBus botnet? i det væsentlige, botnet er en Monero-kryptovaluta-minearbejder baseret på XMRig. Men, forskere advarer om, at botnet kan anvendes i andre angrebstilstande, herunder ransomware og virksomhedsdatatyveri.
En oversigt over malwareens funktioner og egenskaber inkluderer:
- Et modulært Linux-baseret botnet svarende til en orm, der har eksisteret i det mindste siden tidligt 2019;
- En evne til at sprede sig til systemer, der ikke direkte udsættes for internettet ved at scanne privat RFC 1918 undernetområder for sårbare systemer;
- Botnet bruger en kombination af implicit tillid, applikationsspecifikke udnyttelser, og svage adgangskoder til at udføre sine angreb.
I 2018, sikkerhedsforskere opdagede en anden russisk minearbejder baseret på XMRig-softwaren. Hedder WaterMiner, malware forbundet til en foruddefineret pool ved at have specifikke instruktioner i sin konfigurationsfil.
En minedrift pulje er en centraliseret knudepunkt som tager en Monero blockchain blok og distribuerer den til de tilsluttede peers til forarbejdning. Når et sæt antal aktier returneres og verificeres af puljen, en belønning i form af Monero-kryptokurrency er forbundet til den udpegede tegnebogadresse. I tilfælde af den ondsindede forekomst, dette er adressen, der drives af botnetets operatører.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: