DreamBus Botnet

Linux og Unix-systemer er truet af et nyt kraftfuldt botnet ved navn DreamBus. Forskere vurderede, at titusinder af systemer muligvis allerede var kompromitteret. En nøglefaktor, der bidrager til DreamBus 'styrke, er dens ormlignende evner til at sprede sig både via internettet og lateralt en gang inden for offerets private netværk. For nu er trusselsaktøren tilfreds med at implementere en crypto-minearbejdsbelastning, hvilket også forklarer præferencen over for inficering af systemer med kraftige hardwarekomponenter såsom en bøf CPU og større mængder tilgængelig hukommelse. Mens kampagnen ikke er tilskrevet en bestemt hackergruppe, analyserede forskerne tidsstemplerne for kommandoerne, der blev sendt til DreamBus, og konkluderede, at cyberkriminelle sandsynligvis enten er fra Rusland eller et østeuropæisk land.

DreamBus er meget modulær

Truslen er bygget med et modulært design, der gør det muligt for trusselsaktøren at udrulle nye moduler støt, hvilket øger DreamBus 'muligheder. Hovedkomponenten er indeholdt i en ELF-fil (Executable and Linkable Format), der kan sprede kopier af sig selv gennem enten Secure Shell (SSH) eller downloades via HTTP. Binæren har til opgave at forberede miljøet i det inficerede system til yderligere eskalering af angrebet, implementere yderligere moduler til spredning og levere den endelige nyttelast - en XMRig- malware, der kaprer ressourcerne i det kompromitterede system til minedrift af Monero-mønter.

Botnets laterale bevægelse på tværs af enheder, der ikke vender direkte mod det offentlige internet, opnås gennem et modul, der scanner det interne RFC 1918 IP-adresserum for sårbare mål, der matcher kriterierne for angrebet. Andre formeringsmoduler udnytter svage adgangskoder såvel som sårbarheder i forbindelse med fjernudførelse af kode på en række populære applikationer, herunder SSH, administrationsværktøjer og skybaserede databaser. Truslen er specifikt rettet mod Apache Spark, Hadoop YARN, HashiCorp Consul og SaltStack. Kommando-og-kontrol-infrastrukturen til operationerne er hostet på TOR-netværket og på anonyme fildelingstjenester, der bruger HTTP.

Infosec-eksperterne, der analyserede DreamBus, advarer om, at det endelige mål for den truende operation let kunne udvikles fra at levere en kryptominer til implementering af en langt mere truende malware. Trusselsaktøren kunne skifte til en ransomware-nyttelast eller et dataeksfiltreringsværktøj.