Beveiligingsonderzoekers ontdekten een nieuwe dreiging die Linux-servers in gevaar brengt. DreamBus gebeld, het botnet is een nieuwe variant van een eerder bekende malware die bekend staat als SystemdMiner. Het is opmerkelijk dat DreamBus meer is geëvolueerd in vergelijking met SystemdMiner.
Zscaler-onderzoekers waarschuwen dat het DreamBus-botnet zich richt op apps op bedrijfsniveau die op Linux-systemen worden uitgevoerd. Sommige apps die risico lopen, zijn onder meer PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, en de SSH-service.
Aanvalscenario's omvatten brute-force-aanvallen op standaard beheerdersgebruikersnamen, blootgestelde API-eindpunten, en exploits voor oudere kwetsbaarheden. “DreamBus lijkt zich in Rusland of Oost-Europa te bevinden op basis van het tijdstip van inzet voor nieuwe commando's,”Waarschuwen de onderzoekers.
DreamBus Botnet-specificaties
Zscaler zegt dat het botnet wormachtig gedrag vertoont, waardoor het zich zeer succesvol verspreidt over internet. Het is ook in staat tot laterale distributie via een intern netwerk via verschillende andere methoden, zoals het misbruiken van zwakke wachtwoorden, niet geverifieerd, fouten bij het uitvoeren van externe code in applicaties zoals SSH en IT-beheertools, cloudgebaseerde apps, en databases.
Waarom richten DreamBus-botnetoperators zich op dit soort toepassingen??
"Deze specifieke applicaties zijn het doelwit omdat ze vaak worden uitgevoerd op systemen met krachtige onderliggende hardware met aanzienlijke hoeveelheden geheugen en krachtige CPU's, waardoor bedreigingsactoren hun vermogen om geld te verdienen met deze bronnen kunnen maximaliseren door cryptocurrency te delven.," het verslag verklaart.
Wat is het kwaadaardige doel van het BreamBus-botnet? In essentie, het botnet is een Monero cryptocurrency-mijnwerker op basis van XMRig. Echter, onderzoekers waarschuwen dat het botnet kan worden gebruikt in andere aanvalsmodi, waaronder ransomware en diefstal van bedrijfsgegevens.
Een overzicht van de mogelijkheden en kenmerken van de malware omvat:
- Een modulair op Linux gebaseerd botnet dat lijkt op een worm die al sinds het begin bestaat 2019;
- Een mogelijkheid om zich te verspreiden naar systemen die niet rechtstreeks zijn blootgesteld aan internet door privé-RFC te scannen 1918 subnetbereiken voor kwetsbare systemen;
- Het botnet maakt gebruik van een combinatie van impliciet vertrouwen, toepassingsspecifieke exploits, en zwakke wachtwoorden om zijn aanvallen uit te voeren.
In 2018, beveiligingsonderzoekers ontdekten een andere Russische mijnwerker op basis van de XMRig-software. Gebeld WaterMiner, de malware is verbonden met een vooraf gedefinieerde pool door specifieke instructies in het configuratiebestand te hebben.
Een mijnbouw pool is een centraal knooppunt dat een Monero blockchain draait blok en geeft dit door aan de aangesloten peers verwerking. Wanneer een bepaald aantal aandelen wordt geretourneerd en geverifieerd door de pool, een beloning in de vorm van Monero-cryptocurrency is verbonden met het aangewezen portefeuilleadres. In het geval van de kwaadwillende instantie, dit is het adres dat wordt beheerd door de operators van het botnet.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: