Les chercheurs en sécurité de l'équipe ThreatLabZ de Zscaler ont découvert et analysé une nouvelle famille de logiciels malveillants basés sur Linux que les cybercriminels utilisent pour attaquer les serveurs Linux exécutant des applications professionnelles. La société de cybersécurité a surnommé la nouvelle famille de logiciels malveillants DreamBus et il s'agit en fait d'une variante d'un ancien botnet appelé SytemdMiner qui est apparu pour la première fois en 2019. Cependant, les versions actuelles de DreamBus incluent plusieurs améliorations par rapport à SystemdMiner. Le botnet DreamBus est actuellement utilisé pour cibler un certain nombre d'applications d'entreprise populaires, notamment PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack et le service SSH, qui s'exécutent toutes sur des serveurs Linux. Alors que certaines de ces applications ont été attaquées par des attaques par force brute, d'autres ont été attaquées à l'aide de commandes malveillantes envoyées à des points de terminaison d'API exposés ou à l'aide d'exploits pour des vulnérabilités précédentes.
Réseau DreamBus Zombie
Les cybercriminels qui déploient DreamBus le font dans le but de prendre pied sur les serveurs Linux, où ils peuvent télécharger et installer une application open source utilisée pour exploiter la crypto-monnaie Monero (XMR). De plus, chaque serveur infecté fait partie du botnet. Selon Zscaler, DreamBus utilise plusieurs mesures pour éviter la détection, notamment en faisant communiquer le logiciel malveillant avec le serveur de commande et de contrôle (C&C) du botnet à l'aide du nouveau DNS sur protocole. HTTPS ( DoH), qui est très complexe à configurer. Le serveur C&C est également hébergé sur le réseau Tor en utilisant une adresse .onion pour le rendre plus difficile à supprimer. Le directeur du renseignement sur les menaces de Zscaler, Brett Stone-Gross, a expliqué dans un nouveau rapport qu'il sera difficile de trouver l'acteur de la menace derrière DreamBus en raison de la façon dont ils se sont cachés en utilisant Tor. et des sites Web de partage de fichiers anonymes, qui disent: «Alors que DreamBus est actuellement utilisé pour l'extraction de crypto-monnaie, l'acteur de la menace pourrait se tourner vers des activités plus perturbatrices telles que les ransomwares. En outre, d'autres groupes de menaces pourraient utiliser les mêmes techniques pour infecter les systèmes et compromettre des informations sensibles qui peuvent être facilement volées et monétisées. L'acteur de la menace DreamBus continue d'innover et d'ajouter de nouveaux modules pour compromettre davantage de systèmes, en publiant régulièrement des mises à jour et des corrections de bogues. L'acteur de la menace derrière DreamBus est susceptible de continuer à opérer dans un avenir prévisible, se cachant derrière TOR et des sites Web de partage de fichiers anonymes. via ZDNet