DreamBus Botnet

Os sistemas Linux e Unix estão sob a ameaça de um novo botnet poderoso chamado DreamBus. Os pesquisadores estimam que dezenas de milhares de sistemas já podem ter sido comprometidos. Um fator-chave que contribui para a potência do DreamBus é sua capacidade semelhante a um worm de se espalhar pela Internet e lateralmente, uma vez dentro da rede privada da vítima. Por enquanto, o agente da ameaça está contente em implantar uma carga útil do criptominerador, o que também explica a preferência por infectar sistemas com componentes de hardware poderosos, como uma CPU robusta e grandes quantidades de memória disponível. Embora a campanha não tenha sido atribuída a um grupo específico de hackers, os pesquisadores analisaram os carimbos de data / hora dos comandos enviados ao DreamBus e concluíram que os cibercriminosos provavelmente são da Rússia ou de um país do Leste Europeu.

DreamBus é Altamente Modular

A ameaça é construída com um design modular que permite ao agente da ameaça lançar novos módulos de forma constante, aumentando as capacidades do DreamBus. O componente principal está contido em um arquivo Executable and Linkable Format (ELF) que pode espalhar cópias de si mesmo por meio do Secure Shell (SSH) ou baixado via HTTP. O binário tem a tarefa de preparar o ambiente do sistema infectado para uma maior escalada do ataque, implantando módulos adicionais para propagação e entregando a carga final - um malware XMRig que sequestra os recursos do sistema comprometido para extrair moedas Monero.

O movimento lateral do botnet em dispositivos que não estão diretamente voltados para a Internet pública é obtido por meio de um módulo que verifica o espaço de endereço IP RFC 1918 interno em busca de alvos vulneráveis que correspondam aos critérios do ataque. Outros módulos de propagação exploram senhas fracas, bem como vulnerabilidades de execução remota de código em uma variedade de aplicativos populares, incluindo SSH, ferramentas de administração e bancos de dados baseados na Nuvem. A ameaça tem como alvo o Apache Spark, Hadoop YARN, HashiCorp Consul e SaltStack especificamente. A infraestrutura de comando e controle para as operações é hospedada na rede TOR e em serviços anônimos de compartilhamento de arquivos que usam HTTP.

Os especialistas em infosec que analisaram o DreamBus alertam que o objetivo final da operação ameaçadora pode evoluir facilmente de entregar um cripto mineiro para implantar um malware muito mais ameaçador. O ator da ameaça pode mudar para uma carga útil de ransomware ou uma ferramenta de exfiltração de dados.