DreamBus Botnet

I sistemi Linux e Unix sono minacciati da una nuova potente botnet chiamata DreamBus. I ricercatori hanno stimato che decine di migliaia di sistemi potrebbero essere già stati compromessi. Un fattore chiave che contribuisce alla potenza di DreamBus è la sua capacità simile a un worm di diffondersi sia attraverso Internet che lateralmente una volta all'interno della rete privata della vittima. Per ora, l'attore della minaccia si accontenta di distribuire un payload di cripto-miner, il che spiega anche la preferenza verso i sistemi infettati con potenti componenti hardware come una CPU robusta e una maggiore quantità di memoria disponibile. Sebbene la campagna non sia stata attribuita a uno specifico gruppo di hacker, i ricercatori hanno analizzato i timestamp dei comandi inviati a DreamBus e hanno concluso che i criminali informatici provengono molto probabilmente dalla Russia o da un paese dell'Europa orientale.

DreamBus è altamente modulare

La minaccia è costruita con un design modulare che consente all'attore della minaccia di distribuire costantemente nuovi moduli, aumentando le capacità di DreamBus. Il componente principale è contenuto in un file ELF (Executable and Linkable Format) che può diffondere copie di se stesso tramite Secure Shell (SSH) o scaricato tramite HTTP. Il binario ha il compito di preparare l'ambiente del sistema infetto per un'ulteriore escalation dell'attacco, distribuendo moduli aggiuntivi per la diffusione e consegnando il payload finale: un malware XMRig che dirotta le risorse del sistema compromesso per estrarre monete Monero.

Lo spostamento laterale della botnet tra i dispositivi che non si affacciano direttamente sull'Internet pubblica viene ottenuto tramite un modulo che analizza lo spazio degli indirizzi IP interni RFC 1918 per gli obiettivi vulnerabili che corrispondono ai criteri dell'attacco. Altri moduli di propagazione sfruttano password deboli, nonché vulnerabilità di esecuzione di codice in modalità remota su una gamma di applicazioni popolari, tra cui SSH, strumenti di amministrazione e database basati su cloud. La minaccia colpisce in particolare Apache Spark, Hadoop YARN, HashiCorp Consul e SaltStack. L'infrastruttura Command-and-Control per le operazioni è ospitata sulla rete TOR e su servizi di condivisione file anonimi che utilizzano HTTP.

Gli esperti di infosec che hanno analizzato DreamBus avvertono che l'obiettivo finale dell'operazione minacciosa potrebbe evolversi facilmente dalla fornitura di un minatore crittografico alla distribuzione di un malware molto più minaccioso. L'attore della minaccia potrebbe passare a un payload ransomware oa uno strumento di esfiltrazione dei dati.