Il team di ricerca ThreatLabZ di Zscaler ha individuato una famiglia di malware basata su Linux che prende di mira i server Linux. Soprannominato DreamBus Botnet, il malware è una variante di SystemdMiner, che consiste in una serie di file binari ELF (Executable and Linkable Format) e script di shell Unix.
DreamBus mostra un comportamento simile a un worm che è molto efficace nella diffusione grazie al suo approccio multiforme alla propagazione su Internet e lateralmente attraverso una rete interna utilizzando una varietà di metodi ed è in grado di diffondersi a sistemi che non sono direttamente esposti a Internet scansionando gli intervalli di sottoreti RFC 1918 privati per i sistemi vulnerabili.
La maggior parte dei componenti di comando e controllo (C&C) sono ospitati tramite TOR o su un servizio di condivisione file anonimo come oshi [.] At e sfruttano il protocollo HTTP. Zscaler ThreatLabZ ha osservato moduli progettati per diffondersi tramite SSH, PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul e SaltStack.
Punti chiave
- DreamBus è una botnet modulare basata su Linux con un comportamento simile a un worm che esiste almeno dall’inizio del 2019
- Il malware può diffondersi a sistemi che non sono direttamente esposti a Internet scansionando gli intervalli di sottoreti RFC 1918 privati alla ricerca di sistemi vulnerabili
- DreamBus utilizza una combinazione di fiducia implicita, exploit specifici dell’applicazione e password deboli per ottenere l’accesso a sistemi come database, applicazioni basate su cloud e strumenti di amministrazione IT
- La botnet è attualmente monetizzata sfruttando i sistemi infetti per estrarre la criptovaluta Monero utilizzando XMRig
- L’attore della minaccia che gestisce DreamBus sembra trovarsi in Russia o nell’Europa orientale in base al tempo di distribuzione dei nuovi comandi
Molti dei moduli DreamBus vengono rilevati male dai prodotti di sicurezza poiché il malware basato su Linux è meno comune del malware basato su Windows e quindi riceve meno controllo dalla comunità della sicurezza.
“Queste tecniche includono numerosi moduli che sfruttano la fiducia implicita, le password deboli e le vulnerabilità di esecuzione di codice remoto non autenticato (RCE) nelle applicazioni più diffuse, tra cui Secure Shell (SSH), strumenti di amministrazione IT, una varietà di applicazioni basate su cloud e database. Queste particolari applicazioni sono mirate perché spesso vengono eseguite su sistemi dotati di un potente hardware sottostante con quantità significative di memoria e potenti CPU, che consentono agli attori delle minacce di massimizzare la loro capacità di monetizzare queste risorse attraverso il mining di criptovaluta”, spiegano gli esperti nel post pubblicato da Zscaler.
“Sebbene DreamBus sia attualmente utilizzato per il mining di criptovaluta, l’attore della minaccia potrebbe concentrarsi su attività più dirompenti come il ransomware. Inoltre, altri gruppi di minacce potrebbero sfruttare le stesse tecniche per infettare i sistemi e compromettere le informazioni sensibili che possono essere rubate e monetizzate facilmente. L’attore delle minacce DreamBus continua a innovare e ad aggiungere nuovi moduli per compromettere più sistemi e rilascia regolarmente aggiornamenti e correzioni di bug. È probabile che l’attore della minaccia dietro DreamBus continuerà l’attività per il prossimo futuro nascosto dietro TOR e siti Web di condivisione di file anonimi”, concludono gli esperti.
https://www.zscaler.com/blogs/security-research/dreambus-botnet-technical-analysis
