DreamBus-botnet

Linux- en Unix-systemen worden bedreigd door een nieuw krachtig botnet genaamd DreamBus. Onderzoekers schatten dat mogelijk al tienduizenden systemen gecompromitteerd zijn. Een sleutelfactor die bijdraagt aan de potentie van DreamBus zijn de wormachtige mogelijkheden om zich zowel via internet als lateraal binnen het privé-netwerk van het slachtoffer te verspreiden. Voorlopig is de dreigingsacteur tevreden met het inzetten van een cryptominer-payload, wat ook de voorkeur verklaart voor het infecteren van systemen met krachtige hardwarecomponenten zoals een stevige CPU en grotere hoeveelheden beschikbaar geheugen. Hoewel de campagne niet is toegeschreven aan een specifieke hackergroep, analyseerden onderzoekers de tijdstempels van de commando's die naar DreamBus werden gestuurd en concludeerden dat de cybercriminelen hoogstwaarschijnlijk uit Rusland of een Oost-Europees land komen.

DreamBus is zeer modulair

De dreiging is gebouwd met een modulair ontwerp waardoor de dreigingsacteur gestaag nieuwe modules kan uitrollen, waardoor de mogelijkheden van DreamBus toenemen. Het hoofdonderdeel is opgenomen in een uitvoerbaar en koppelbaar formaat (ELF) -bestand dat kopieën van zichzelf kan verspreiden via Secure Shell (SSH) of kan worden gedownload via HTTP. Het binaire bestand is belast met het voorbereiden van de omgeving van het geïnfecteerde systeem voor verdere escalatie van de aanval, het inzetten van extra modules voor verspreiding en het leveren van de uiteindelijke payload - een XMRig- malware die de bronnen van het gecompromitteerde systeem kaapt om Monero-munten te delven.

De zijwaartse beweging van het botnet over apparaten die niet rechtstreeks naar het openbare internet zijn gericht, wordt bereikt via een module die de interne RFC 1918 IP-adresruimte scant op kwetsbare doelen die voldoen aan de criteria van de aanval. Andere propagatiemodules maken gebruik van zwakke wachtwoorden, evenals kwetsbaarheden voor het uitvoeren van externe code op een reeks populaire applicaties, waaronder SSH, beheertools en cloudgebaseerde databases. De dreiging is specifiek gericht op Apache Spark, Hadoop YARN, HashiCorp Consul en SaltStack. De Command-and-Control-infrastructuur voor de operaties wordt gehost op het TOR-netwerk en op anonieme services voor het delen van bestanden die gebruikmaken van HTTP.

De infosec-experts die DreamBus hebben geanalyseerd, waarschuwen dat het einddoel van de bedreigende operatie gemakkelijk kan worden geëvolueerd van het leveren van een cryptominer naar het inzetten van veel meer bedreigende malware. De bedreigingsacteur zou kunnen overschakelen naar een ransomware-payload of een data-exfiltratietool.