DreamBus 僵尸网络瞄准在 Linux 服务器上运行的企业 app

网络安全公司 Zscaler 上周发布报告称，DreamBus 是老旧僵尸网络 SystemdMiner 的一个变种，后者最早在2019年初现身。但和最初的 SystemdMiner 相比，新近的 DreamBus 版本已做过多次改进。

目前，DreamBus 瞄准的是在 Linux 系统上运行的企业级 app。这些 app 范围广泛如 PostgreSQL、Redis、Hadoop YARN、Apache Spark、HashiCorp Consul、SaltStack 以及 SSH 服务。攻击者通过破解默认的管理员用户名暴力破解其中某些 app， 通过向已暴露的 API 端点发送恶意代码的方式或利用exploit 或更老就漏洞的方式攻击 app。

攻击者的目的是在 Linux 服务器上站稳脚跟，后续下载并安装用于挖掘门罗币以牟利的开源 app。

此外，每个受感染服务器也被用作 DreamBus 操作中的一个僵尸，以针对其它可能的目标发动暴力破解攻击。

研究人员还表示，DreamBus 利用很多措施阻止被检测到。其中一种是所有受恶意软件感染的系统经由新的 DoH 协议和僵尸网络的命令和控制服务器通信。具有 DoH 能力的恶意软件极为罕见，因为设置非常复杂。

此外，为防止 C&C 服务器被端掉，DreamBus 团伙会将其托管在 Tor 网络上。然而，尽管配备如此多的防御性措施，研究人员仍然发现了源自俄罗斯或东欧的另外一个僵尸网络。研究人员指出，“更新和新命令发布一般始于莫斯科标准时间早9点，结束于下午6点。”

研究人员指出，企业不应轻视该僵尸网络。虽然它目前交付的是密币挖矿机，但僵尸网络的操纵人员能随时轻易跳转到更危险的 payload 中，如恶意软件等。