I ricercatori di sicurezza hanno scoperto una nuova minaccia che mette in pericolo i server Linux. Chiamato DreamBus, la botnet è una nuova variante di un malware precedentemente noto noto come SystemdMiner. È interessante notare che DreamBus è più evoluto rispetto a SystemdMiner.
I ricercatori di Zscaler avvertono che la botnet DreamBus sta prendendo di mira app di livello aziendale in esecuzione su sistemi Linux. Alcune app a rischio includono PostgreSQL, Redis, Hadoop YARN, Apache Spark, Console di HashiCorp, SaltStack, e il servizio SSH.
Gli scenari di attacco includono attacchi di forza bruta contro nomi utente amministratore predefiniti, endpoint API esposti, ed exploit per le vulnerabilità più vecchie. “DreamBus sembra essere situato in Russia o nell'Europa orientale in base al tempo di distribuzione dei nuovi comandi,"Avvertono i ricercatori.
Specifiche della botnet DreamBus
Zscaler afferma che la botnet mostra un comportamento simile a un worm, grazie al quale si sta diffondendo con grande successo su Internet. È anche in grado di essere distribuito lateralmente attraverso una rete interna tramite molti altri metodi come lo sfruttamento di password deboli, non autenticato, difetti di esecuzione di codice in modalità remota in applicazioni come SSH e strumenti di amministrazione IT, app basate su cloud, e database.
Perché gli operatori di botnet DreamBus prendono di mira questi tipi di applicazioni?
"Queste particolari applicazioni sono mirate perché spesso vengono eseguite su sistemi che hanno un potente hardware sottostante con quantità significative di memoria e potenti CPU, che consentono agli attori delle minacce di massimizzare la loro capacità di monetizzare queste risorse attraverso il mining di criptovaluta," il rapporto spiega.
Qual è lo scopo dannoso della botnet BreamBus? In sostanza, la botnet è un minatore di criptovaluta Monero basato su XMRig. Tuttavia, i ricercatori avvertono che la botnet può essere impiegata in altre modalità di attacco, inclusi ransomware e furto di dati aziendali.
Una panoramica delle funzionalità e delle caratteristiche del malware include:
- Una botnet modulare basata su Linux simile a un worm che esiste almeno sin dall'inizio 2019;
- Una capacità di diffondersi a sistemi che non sono direttamente esposti a Internet mediante la scansione di RFC privata 1918 intervalli di sottorete per sistemi vulnerabili;
- La botnet utilizza una combinazione di fiducia implicita, exploit specifici dell'applicazione, e password deboli per eseguire i suoi attacchi.
In 2018, i ricercatori di sicurezza hanno scoperto un altro minatore russo basato sul software XMRig. Chiamato WaterMiner, il malware si connetteva a un pool predefinito disponendo di istruzioni specifiche nel suo file di configurazione.
Un pool mining è un nodo centrale che prende un Monero blockchain blocco e lo distribuisce ai peer connessi alla trasformazione. Quando un determinato numero di condivisioni viene restituito e verificato dal pool, una ricompensa sotto forma di criptovaluta Monero è collegata all'indirizzo del portafoglio designato. Nel caso dell'istanza dannosa, questo è l'indirizzo gestito dagli operatori della botnet.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: