Botnet DreamBus
Les systèmes Linux et Unix sont menacés par un nouveau botnet puissant nommé DreamBus. Les chercheurs ont estimé que des dizaines de milliers de systèmes auraient peut-être déjà été compromis. Un facteur clé contribuant à la puissance de DreamBus est ses capacités de type ver à se propager à la fois via Internet et latéralement une fois à l'intérieur du réseau privé de la victime. Pour l'instant, l'acteur de la menace se contente de déployer une charge utile de crypto-mineur, ce qui explique également la préférence pour infecter les systèmes avec des composants matériels puissants tels qu'un processeur costaud et de plus grandes quantités de mémoire disponible. Bien que la campagne n'ait pas été attribuée à un groupe de hackers en particulier, les chercheurs ont analysé les horodatages des commandes envoyées à DreamBus et ont conclu que les cybercriminels venaient très probablement de Russie ou d'un pays d'Europe de l'Est.
DreamBus est hautement modulaire
La menace est construite avec une conception modulaire qui permet à l'acteur de la menace de déployer de nouveaux modules régulièrement, augmentant les capacités de DreamBus. Le composant principal est contenu dans un fichier ELF (Executable and Linkable Format) qui peut diffuser des copies de lui-même via Secure Shell (SSH) ou téléchargé via HTTP. Le binaire est chargé de préparer l'environnement du système infecté pour une escalade supplémentaire de l'attaque, de déployer des modules supplémentaires pour la propagation et de fournir la charge utile finale - un malware XMRig qui détourne les ressources du système compromis pour extraire les pièces Monero.
Le mouvement latéral du botnet à travers les appareils qui ne font pas directement face à l'Internet public est réalisé grâce à un module qui analyse l'espace d'adressage IP interne RFC 1918 pour les cibles vulnérables qui correspondent aux critères de l'attaque. D'autres modules de propagation exploitent des mots de passe faibles, ainsi que des vulnérabilités d'exécution de code à distance sur une gamme d'applications populaires, notamment SSH, des outils d'administration et des bases de données basées sur le cloud. La menace cible spécifiquement Apache Spark, Hadoop YARN, HashiCorp Consul et SaltStack. L'infrastructure de Command-and-Control pour les opérations est hébergée sur le réseau TOR et sur des services de partage de fichiers anonymes qui utilisent HTTP.
Les experts de l'Infosec qui ont analysé DreamBus préviennent que l'objectif final de l'opération menaçante pourrait évoluer facilement de la livraison d'un crypto-mineur au déploiement d'un malware bien plus menaçant. L'acteur de la menace pourrait passer à une charge utile de ransomware ou à un outil d'exfiltration de données.