DreamBus 僵尸网络瞄准在 Linux 服务器上运行的企业 app
编译:奇安信代码卫士团队
如果在网上部署了 Linux 服务器,即使存在很小的弱点,网络犯罪组织也会将其纳入僵尸网络中。最新出现的 DreamBus 就是这一类威胁。
网络安全公司 Zscaler 上周发布报告称,DreamBus 是老旧僵尸网络 SystemdMiner 的一个变种,后者最早在2019年初现身。但和最初的 SystemdMiner 相比,新近的 DreamBus 版本已做过多次改进。
目前,DreamBus 瞄准的是在 Linux 系统上运行的企业级 app。这些 app 范围广泛如 PostgreSQL、Redis、Hadoop YARN、Apache Spark、HashiCorp Consul、SaltStack 以及 SSH 服务。攻击者通过破解默认的管理员用户名暴力破解其中某些 app, 通过向已暴露的 API 端点发送恶意代码的方式或利用exploit 或更老就漏洞的方式攻击 app。
攻击者的目的是在 Linux 服务器上站稳脚跟,后续下载并安装用于挖掘门罗币以牟利的开源 app。
此外,每个受感染服务器也被用作 DreamBus 操作中的一个僵尸,以针对其它可能的目标发动暴力破解攻击。
研究人员还表示,DreamBus 利用很多措施阻止被检测到。其中一种是所有受恶意软件感染的系统经由新的 DoH 协议和僵尸网络的命令和控制服务器通信。具有 DoH 能力的恶意软件极为罕见,因为设置非常复杂。
此外,为防止 C&C 服务器被端掉,DreamBus 团伙会将其托管在 Tor 网络上。然而,尽管配备如此多的防御性措施,研究人员仍然发现了源自俄罗斯或东欧的另外一个僵尸网络。研究人员指出,“更新和新命令发布一般始于莫斯科标准时间早9点,结束于下午6点。”
研究人员指出,企业不应轻视该僵尸网络。虽然它目前交付的是密币挖矿机,但僵尸网络的操纵人员能随时轻易跳转到更危险的 payload 中,如恶意软件等。
12年前的 Linux bug 复活,DNS 缓存投毒攻击重现
https://www.zdnet.com/article/dreambus-botnet-targets-enterprise-apps-running-on-linux-servers/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。