Pesquisadores de segurança descobriram uma nova ameaça que põe em perigo os servidores Linux. Chamado DreamBus, o botnet é uma nova variante de um malware conhecido anteriormente como SystemdMiner. Vale ressaltar que DreamBus é mais evoluído quando comparado ao SystemdMiner.
Pesquisadores do Zscaler alertam que o botnet DreamBus tem como alvo aplicativos de nível empresarial executados em sistemas Linux. Alguns aplicativos que estão em risco incluem PostgreSQL, Redis, Hadoop YARN, Apache Spark, Cônsul HashiCorp, SaltStack, e o serviço SSH.
Os cenários de ataque incluem ataques de força bruta contra nomes de usuário de administrador padrão, endpoints API expostos, e exploits para vulnerabilidades mais antigas. “DreamBus parece estar localizado na Rússia ou na Europa Oriental com base no tempo de implantação de novos comandos,”Alertam os pesquisadores.
Especificações do botnet DreamBus
Zscaler diz que o botnet exibe um comportamento semelhante ao de um worm, graças ao qual está se espalhando com muito sucesso pela internet. Também é capaz de distribuição lateral através de uma rede interna por meio de vários outros métodos, como a exploração de senhas fracas, não autenticado, falhas de execução remota de código em aplicativos como SSH e ferramentas de administração de TI, aplicativos baseados em nuvem, e bancos de dados.
Por que os operadores de botnet DreamBus têm como alvo esses tipos de aplicativos?
“Esses aplicativos específicos são direcionados porque muitas vezes são executados em sistemas que têm hardware subjacente poderoso com quantidades significativas de memória e CPUs poderosas - todos os quais permitem que os agentes da ameaça maximizem sua capacidade de monetizar esses recursos por meio da mineração de criptomoedas," o relatório explica.
Qual é o propósito malicioso do botnet BreamBus? em essência, o botnet é um minerador de criptomoeda Monero baseado em XMRig. Contudo, pesquisadores alertam que o botnet pode ser empregado em outros modos de ataque, incluindo ransomware e roubo de dados corporativos.
Uma visão geral dos recursos e características do malware incluem:
- Um botnet modular baseado em Linux semelhante a um worm que existe pelo menos desde o início 2019;
- A capacidade de se espalhar para sistemas que não estão diretamente expostos à Internet por digitalização RFC privada 1918 intervalos de sub-rede para sistemas vulneráveis;
- O botnet utiliza uma combinação de confiança implícita, explorações específicas do aplicativo, e senhas fracas para realizar seus ataques.
No 2018, pesquisadores de segurança descobriram outro minerador russo baseado no software XMRig. Chamado WaterMiner, o malware conectado a um pool predefinido por ter instruções específicas em seu arquivo de configuração.
Um pool de mineração é um nó centralizado que pega um bloco blockchain Monero e o distribui aos pares conectados para processamento. Quando um determinado número de ações é devolvido e verificado pelo pool, uma recompensa na forma de criptomoeda Monero é conectada ao endereço de carteira designado. No caso da instância maliciosa, este é o endereço operado pelos operadores do botnet.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: