Zscaler的研究团队最近发现了一个针对Linux服务器的基于Linux的恶意软件家族,称为DreamBus僵尸网络。
Zscaler的ThreatLabZ研究团队的研究人员最近分析了一个基于Linux的恶意软件家族,该家族被称为DreamBus Botnet,它是SystemdMiner的变体 。该机器人由一系列可执行和可链接格式(ELF)二进制文件和Unix Shell脚本组成。
该恶意软件具有模块化结构,其模块的检测率较低。DreamBus僵尸程序具有类似于蠕虫的行为,非常有效,它可以通过扫描专用RFC 1918子网范围中的易受攻击的系统,将其传播到未直接暴露于Internet的系统。
“这些技术包括许多模块,这些模块利用了流行的应用程序中的隐式信任,弱密码和未经身份验证的远程代码执行(RCE)漏洞,包括Secure Shell(SSH),IT管理工具,各种基于云的应用程序和数据库。” 阅读Zscaler发表的帖子。“这些特定的应用程序是有针对性的,因为它们通常在具有强大的底层硬件,大量内存和强大的CPU的系统上运行,所有这些都使威胁行为者能够通过挖掘加密货币最大程度地利用这些资源获利。”
一些模块旨在对SSH,PostgreSQL,Redis,Hadoop YARN,Apache Spark,HashiCorp Consul和SaltStack进行暴力攻击。
DreamBus僵尸网络
僵尸网络针对在Linux系统上运行的企业应用程序。在某些情况下,这些应用程序的目标是发送到公开的API端点的恶意命令,或者通过利用较早版本的漏洞的攻击。
DreamBus机器人的主要功能是开采XMRig Monero加密货币矿工,它还可以用于部署其他有效载荷来执行更多其他恶意活动(例如,勒索软件,数据盗窃)。
“ DreamBus的主要组件具有通过SSH进行传播的能力。每当成功进行利用尝试时,通常也会通过多个硬编码的TOR域通过HTTP下载此模块。用于下载主要DreamBus扩展器模块(在利用之后)的HTTP请求路径是以成功利用的利用格式进行的。” 继续分析。
被感染的系统通过新的HTTP-over-HTTPS(DoH)协议与C2服务器通信,以避免被检测到,这对于恶意软件来说是罕见的功能。
DreamBus僵尸网络的C2服务器托管在Tor网络上,以防止其接管。
根据命令发送到僵尸网络的时间,DreamBus僵尸网络背后的威胁者可能位于俄罗斯附近。
专家总结说:“发布的更新和新命令通常从UTC上午6:00或莫斯科标准时间(MSK)上午9:00开始,大约在UTC下午3:00或MSK下午6:00结束。” “ DreamBus威胁参与者不断创新并添加新模块以危害更多系统,并定期推出更新和错误修复。DreamBus背后的威胁参与者很可能会继续活动,在可预见的TOR和匿名文件共享网站背后隐藏的未来。因此,组织必须保持警惕并采取必要的预防措施以防止感染。”
*编译:Domino
*来自:securityaffairs
文章评论