DreamBus Botnet
Linux- und Unix-Systeme sind durch ein neues leistungsstarkes Botnetz namens DreamBus bedroht. Die Forscher schätzten, dass Zehntausende von Systemen möglicherweise bereits kompromittiert wurden. Ein Schlüsselfaktor, der zur Potenz von DreamBus beiträgt, ist seine wurmartige Fähigkeit, sich sowohl über das Internet als auch seitlich im privaten Netzwerk des Opfers zu verbreiten. Derzeit ist der Bedrohungsakteur damit zufrieden, eine Crypto-Miner-Nutzlast bereitzustellen, was auch die Präferenz für die Infektion von Systemen mit leistungsstarken Hardwarekomponenten wie einer leistungsfähigen CPU und größeren Mengen an verfügbarem Speicher erklärt. Obwohl die Kampagne keiner bestimmten Hacker-Gruppe zugeordnet wurde, analysierten die Forscher die Zeitstempel der an DreamBus gesendeten Befehle und kamen zu dem Schluss, dass die Cyberkriminellen höchstwahrscheinlich entweder aus Russland oder einem osteuropäischen Land stammen.
DreamBus ist sehr modular
Die Bedrohung ist modular aufgebaut, sodass der Bedrohungsakteur ständig neue Module einführen und die Funktionen von DreamBus erweitern kann. Die Hauptkomponente ist in einer ELF-Datei (Executable and Linkable Format) enthalten, die Kopien von sich selbst entweder über Secure Shell (SSH) verbreiten oder über HTTP herunterladen kann. Die Binärdatei hat die Aufgabe, die Umgebung des infizierten Systems auf eine weitere Eskalation des Angriffs vorzubereiten, zusätzliche Module für die Verbreitung zu liefern und die endgültige Nutzlast bereitzustellen - eine XMRig- Malware, die die Ressourcen des gefährdeten Systems entführt, um Monero-Münzen abzubauen.
Die seitliche Bewegung des Botnetzes über Geräte, die nicht direkt mit dem öffentlichen Internet verbunden sind, wird durch ein Modul erreicht, das den internen IP-Adressraum von RFC 1918 nach anfälligen Zielen durchsucht, die den Kriterien des Angriffs entsprechen. Andere Weitergabemodule nutzen schwache Kennwörter sowie Sicherheitslücken bei der Remotecodeausführung in einer Reihe gängiger Anwendungen, darunter SSH, Verwaltungstools und Cloud-basierte Datenbanken. Die Bedrohung richtet sich speziell gegen Apache Spark, Hadoop YARN, HashiCorp Consul und SaltStack. Die Command-and-Control-Infrastruktur für die Vorgänge wird im TOR-Netzwerk und in anonymen Filesharing-Diensten gehostet, die HTTP verwenden.
Die Infosec-Experten, die DreamBus analysiert haben, warnen davor, dass das Endziel des Bedrohungsvorgangs leicht von der Bereitstellung eines Crypto Miner zur Bereitstellung einer weitaus bedrohlicheren Malware weiterentwickelt werden könnte. Der Bedrohungsakteur könnte zu einer Ransomware-Nutzlast oder einem Datenexfiltrationstool wechseln.
