Des chercheurs en sécurité ont découvert une nouvelle menace mettant en danger les serveurs Linux. Appelé DreamBus, le botnet est une nouvelle variante d'un malware connu auparavant sous le nom de SystemdMiner. Il est à noter que DreamBus est plus évolué que SystemdMiner.
Les chercheurs de Zscaler avertissent que le botnet DreamBus cible les applications de niveau entreprise exécutées sur des systèmes Linux. Certaines applications à risque incluent PostgreSQL, Redis, Hadoop YARN, Apache Spark, Consul de HashiCorp, SaltStack, et le service SSH.
Les scénarios d'attaque incluent des attaques par force brute contre les noms d'utilisateur par défaut des administrateurs, points de terminaison d'API exposés, et exploits pour les anciennes vulnérabilités. «DreamBus semble être situé en Russie ou en Europe de l'Est en fonction du moment du déploiement des nouvelles commandes,”Avertissent les chercheurs.
Spécifications de DreamBus Botnet
Zscaler dit que le botnet affiche un comportement de ver, grâce auquel il se propage avec beaucoup de succès sur Internet. Il est également capable de distribution latérale via un réseau interne via plusieurs autres méthodes telles que l'exploitation de mots de passe faibles, non authentifié, failles d'exécution de code à distance dans des applications telles que SSH et les outils d'administration informatique, applications basées sur le cloud, et bases de données.
Pourquoi les opérateurs de botnet DreamBus ciblent-ils ces types d'applications??
«Ces applications particulières sont ciblées car elles s'exécutent souvent sur des systèmes dotés d'un matériel sous-jacent puissant avec des quantités importantes de mémoire et de puissants processeurs, ce qui permet aux acteurs de la menace de maximiser leur capacité à monétiser ces ressources grâce à l'extraction de crypto-monnaie," le rapport explique.
Quel est le but malveillant du botnet BreamBus? Pour l'essentiel, le botnet est un mineur de crypto-monnaie Monero basé sur XMRig. Cependant, les chercheurs avertissent que le botnet peut être utilisé dans d'autres modes d'attaque, y compris le ransomware et le vol de données d'entreprise.
Un aperçu des capacités et des caractéristiques du malware comprend:
- Un botnet modulaire basé sur Linux similaire à un ver qui existe au moins depuis le début 2019;
- Une capacité à se propager à des systèmes qui ne sont pas directement exposés à Internet en analysant les RFC privées 1918 plages de sous-réseau pour les systèmes vulnérables;
- Le botnet utilise une combinaison de confiance implicite, exploits spécifiques à l'application, et mots de passe faibles pour mener à bien ses attaques.
Dans 2018, des chercheurs en sécurité ont découvert un autre mineur russe basé sur le logiciel XMRig. Appelé WaterMiner, le malware connecté à un pool prédéfini en ayant des instructions spécifiques dans son fichier de configuration.
Un pool d'extraction est un noeud central qui prend un bloc de Monero et elle distribue aux pairs connectés pour le traitement. Lorsqu'un nombre défini de partages est renvoyé et vérifié par le pool, une récompense sous la forme de crypto-monnaie Monero est câblée à l'adresse de portefeuille désignée. Dans le cas de l'instance malveillante, il s’agit de l’adresse exploitée par les opérateurs du botnet.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: