- Il confronto
- Tutorial
- Questa nuova botnet prende di mira i server Linux che eseguono applicazioni commerciali
I ricercatori di sicurezza del team ThreatLabZ di Zscaler hanno scoperto e analizzato una nuova famiglia di malware basati su Linux che i criminali informatici utilizzano per attaccare i server Linux che eseguono applicazioni aziendali. La società di sicurezza informatica ha soprannominato la nuova famiglia di malware DreamBus ed è in realtà una variazione di una vecchia botnet chiamata SytemdMiner apparsa per la prima volta nel 2019. Tuttavia, le versioni attuali di DreamBus includono diversi miglioramenti rispetto a SystemdMiner. La botnet DreamBus è attualmente utilizzata per prendere di mira una serie di applicazioni aziendali popolari, tra cui PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack e il servizio SSH, che funzionano tutti su server Linux. Mentre alcune di queste applicazioni sono state attaccate con attacchi di forza bruta, altre sono state attaccate utilizzando comandi dannosi inviati a endpoint API esposti o utilizzando exploit per vulnerabilità precedenti.
Rete Zombie DreamBus
I criminali informatici che distribuiscono DreamBus lo fanno nel tentativo di prendere piede sui server Linux, dove possono scaricare e installare un'applicazione open source utilizzata per estrarre la criptovaluta Monero (XMR). Inoltre, ogni server infetto fa parte della botnet.Secondo Zscaler, DreamBus utilizza diverse misure per evitare il rilevamento, inclusa la comunicazione del malware con il server di comando e controllo (C&C) della botnet utilizzando il nuovo DNS-over-protocol. DoH), che è molto complesso da configurare. Anche il server C&C è ospitato sulla rete Tor utilizzando un indirizzo .onion per renderlo più difficile da rimuovere. Il direttore dell'intelligence sulle minacce di Zscaler, Brett Stone-Gross, ha spiegato in un nuovo rapporto che sarà difficile trovare l'attore della minaccia dietro DreamBus a causa del modo in cui si sono nascosti usando Tor. e siti Web di condivisione di file anonimi, che dicono: “Mentre DreamBus è attualmente utilizzato per il mining di criptovaluta, l'attore della minaccia potrebbe dedicarsi ad attività più dirompenti come il ransomware. Inoltre, altri gruppi di minacce potrebbero utilizzare le stesse tecniche per infettare i sistemi e compromettere informazioni sensibili che possono essere facilmente rubate e monetizzate. L'attore delle minacce DreamBus continua a innovare e ad aggiungere nuovi moduli per compromettere più sistemi, rilasciando regolarmente aggiornamenti e correzioni di bug. È probabile che l'attore della minaccia dietro DreamBus continui a operare per il prossimo futuro, nascondendosi dietro TOR e siti Web di condivisione di file anonimi. tramite ZDNet