DreamBus botnet cilja poslovne aplikacije pokrenute na Linux serverima 

DreamBus botnet koristi exploit-ove i grubu silu kako bi ciljao PostgreSQL, Redis, SaltStack, Hadoop, Spark i druge. Velike su šanse ako danas instalirate Linux server na mreži i ostavite i najmanju slabost otkrivenom, da će ga grupa za cyber kriminal zarobiti kao deo svoje botnet mreže.

PCPress.rs Image

DreamBus je primenio dosta mera kako bi sprečio lako otkrivanje

Najnovija ovakva pretnji nosi ime DreamBus. U izveštaju koji je prošle nedelje objavila cybersecurity firma Zscaler, kaže se da je ova nova pretnja varijanta starijeg botneta pod imenom SistemdMiner, koji je prvi put viđen početkom 2019. godine. Sadašnje verzije DreamBus-a su dobile nekoliko poboljšanja. Trenutno botnet cilja aplikacije na nivou preduzeća koje se izvode na Linux sistemima.

Ciljevi uključuju široku kolekciju aplikacija, kao što su PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack i SSH service. Neke od ovih aplikacija ciljaju se grubim napadima na njihova podrazumevana administratorska korisnička imena, druge zlonamernim naredbama koje se šalju izloženim API tačkama ili putem iskorišćavanja starijih ranjivosti. Ideja je dati DreamBus-u uporište na Linux serveru gde bi kasnije mogli da preuzmu i instaliraju aplikaciju otvorenog koda koja kopa Monero (XMR) kripto valutu kako bi generisala zaradu za napadače. Štaviše, svaki od zaraženih servera takođe se koristi kao bot u operaciji DreamBus za pokretanje daljih napada na druge moguće ciljeve.

Zscaler je takođe rekao da je DreamBus primenio dosta mera kako bi sprečio lako otkrivanje. Jedan od njih bio je da su svi sistemi zaraženi malverom komunicirali sa serverom za komandu i kontrolu botneta (C&C) putem novog DNS-over-HTTPS (DoH) protokola. Zlonamerni softver koji podržava DoH je vrlo redak, jer je složen za postavljanje. Uprkos svim ovim zaštitnim merama, Zscaler veruje da vidimo još jednu botnet mrežu koja je rođena i operisana iz Rusije ili Istočne Evrope. Kompanije botnet ne treba da shvate olako – botnet trenutno služi kao rudar kriptovaluta, ali istraživači Zscaler-a veruje da bi operatori mogli lako da se okrenu ka opasnijim napadima, poput ransomvare-a.

Izvor: Zdnet

Facebook komentari:
SBB

Tagovi: , , , , ,