DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Mạng botnet DreamBus nhắm vào các ứng dụng doanh nghiệp chạy trên máy chủ Linux
Nếu máy chủ Linux trực tuyến gần đây của bạn lộ những điểm yếu dù là nhỏ nhất, rất có thể chúng sẽ bị tấn công để tạo thành mạng botnet có tên DreamBus.
Theo một báo cáo được công bố vào tuần trước của công ty bảo mật Zscaler, DreamBus là một biến thể của mạng botnet cũ có tên SystemdMiner, được phát hiện lần đầu tiên vào đầu năm 2019.
Tuy nhiên, DreamBus mang nhiều tính năng cải tiến so với các biến thể SystemdMiner cũ.
Hiện mạng botnet này đang nhắm đến các ứng dụng dành cho doanh nghiệp chạy trên hệ thống Linux. Các mục tiêu bao gồm một loạt các ứng dụng như PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack và dịch vụ SSH.
Ngoài phương thức tấn công dò tìm mật khẩu (brute-force) vào tài khoản quản trị viên mặc định, kẻ tấn công còn gửi các lệnh độc hại đến các điểm cuối API bị lộ hoặc thông qua khai thác các lỗ hổng cũ đã được công bố.
Mục đích của các hành động này là xâm nhập vào các máy chủ Linux từ đó tạo điều kiện cho kẻ điều hành mạng botnet DreamBus tải xuống và cài đặt một ứng dụng mã nguồn mở khai thác tiền điện tử Monero (XMR).
Hơn nữa, mỗi máy chủ bị nhiễm cũng trở thành một máy tính ma trong mạng DreamBus để thực hiện các cuộc tấn công brute-force vào các mục tiêu khác.
Threo Zscaler, không dễ phát hiện botnet DreamBus vì tất cả các hệ thống bị nhiễm phần mềm độc hại đều giao tiếp với máy chủ C&C thông qua giao thức DNS-over-HTTPS (DoH). Phần mềm độc hại có khả năng sử dụng giao thức DoH rất hiếm và việc setup rất phức tạp.
Hơn nữa, để ngăn máy chủ C&C bị đánh sập, kẻ đứng sau DreamBus đã lưu trữ DreamBus trên mạng Tor; qua địa chỉ .onion.
Công ty Zscaler nhận định botnet này có nguồn gốc từ Nga hoặc Đông Âu.
Zscaler cho biết: "Các bản cập nhật và lệnh mới thường được bắt đầu gửi đi vào khoảng 6 giờ sáng theo giờ UTC hoặc 9 giờ sáng theo Giờ chuẩn Moscow (MSK) và kết thúc vào khoảng 3 giờ chiều UTC hoặc 6 giờ chiều giờ MSK."
Các chuyên gia Zscaler cảnh báo các công ty không nên xem nhẹ mạng botnet này. Hiện tại, nó đang được khai thác để đào tiền điện tử, nhưng kẻ tấn công có thể dễ dàng thực hiện các cuộc tấn công nghiêm trọng hơn như phát tán ransomware vào bất cứ lúc nào.
Theo một báo cáo được công bố vào tuần trước của công ty bảo mật Zscaler, DreamBus là một biến thể của mạng botnet cũ có tên SystemdMiner, được phát hiện lần đầu tiên vào đầu năm 2019.
Tuy nhiên, DreamBus mang nhiều tính năng cải tiến so với các biến thể SystemdMiner cũ.
Hiện mạng botnet này đang nhắm đến các ứng dụng dành cho doanh nghiệp chạy trên hệ thống Linux. Các mục tiêu bao gồm một loạt các ứng dụng như PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack và dịch vụ SSH.
Ngoài phương thức tấn công dò tìm mật khẩu (brute-force) vào tài khoản quản trị viên mặc định, kẻ tấn công còn gửi các lệnh độc hại đến các điểm cuối API bị lộ hoặc thông qua khai thác các lỗ hổng cũ đã được công bố.
Mục đích của các hành động này là xâm nhập vào các máy chủ Linux từ đó tạo điều kiện cho kẻ điều hành mạng botnet DreamBus tải xuống và cài đặt một ứng dụng mã nguồn mở khai thác tiền điện tử Monero (XMR).
Hơn nữa, mỗi máy chủ bị nhiễm cũng trở thành một máy tính ma trong mạng DreamBus để thực hiện các cuộc tấn công brute-force vào các mục tiêu khác.
Threo Zscaler, không dễ phát hiện botnet DreamBus vì tất cả các hệ thống bị nhiễm phần mềm độc hại đều giao tiếp với máy chủ C&C thông qua giao thức DNS-over-HTTPS (DoH). Phần mềm độc hại có khả năng sử dụng giao thức DoH rất hiếm và việc setup rất phức tạp.
Công ty Zscaler nhận định botnet này có nguồn gốc từ Nga hoặc Đông Âu.
Zscaler cho biết: "Các bản cập nhật và lệnh mới thường được bắt đầu gửi đi vào khoảng 6 giờ sáng theo giờ UTC hoặc 9 giờ sáng theo Giờ chuẩn Moscow (MSK) và kết thúc vào khoảng 3 giờ chiều UTC hoặc 6 giờ chiều giờ MSK."
Các chuyên gia Zscaler cảnh báo các công ty không nên xem nhẹ mạng botnet này. Hiện tại, nó đang được khai thác để đào tiền điện tử, nhưng kẻ tấn công có thể dễ dàng thực hiện các cuộc tấn công nghiêm trọng hơn như phát tán ransomware vào bất cứ lúc nào.
Theo: ZDNet