La botnet DreamBus ataca aplicaciones corporativas en servidores Linux

DreamBus attacks corporate applications

Los analistas de Zscaler informaron sobre la nueva botnet DreamBus que ataca aplicaciones corporativas en servidores Linux. Es una variación del malware SystemdMiner que apareció en 2019.

DreamBus ha recibido una serie de mejoras con respecto a SystemdMiner. Por ejemplo, La botnet se dirige principalmente a aplicaciones empresariales que se ejecutan en sistemas Linux., incluyendo PostgreSQL, Redis, HILO Hadoop, chispa apache, Cónsul de HashiCorp, Pila de sal, y SSH.

Algunos de ellos están sujetos a ataques de fuerza bruta., durante el cual el malware intenta utilizar las credenciales predeterminadas, mientras que otros son atacados por exploits para vulnerabilidades antiguas.

DreamBus ataca aplicaciones corporativas

La tarea principal de DreamBus es permitir a sus operadores establecerse en el servidor para poder descargar e instalar un minero de código abierto para extraer la criptomoneda Monero. (XMR). Además, Algunos de los servidores infectados se utilizan como bots para expandir la botnet., como nuevos ataques de fuerza bruta y búsqueda de otros posibles objetivos.

También, Los expertos de Zscaler señalan que DreamBus está bien protegido contra la detección.

Muchos de los módulos de DreamBus no son detectados correctamente por los productos de seguridad.. Esto se debe en parte a que el malware basado en Linux es menos común que el malware basado en Windows., y por lo tanto recibe menos escrutinio por parte de la comunidad de seguridad.escriben los investigadores de Zscaler.

Por ejemplo, Todos los sistemas infectados con malware se comunican con el servidor de control de la botnet mediante el nuevo DNS sobre HTTPS. (Departamento de Salud) protocolo, y la C del hacker&El servidor C está alojado en Tor..

El malware DreamBus exhibe un comportamiento similar al de un gusano que es muy eficaz para propagarse debido a su enfoque multifacético para propagarse a través de Internet y lateralmente a través de una red interna utilizando una variedad de métodos.. Estas técnicas incluyen numerosos módulos que explotan la confianza implícita., contraseñas débiles, y ejecución remota de código no autenticado (ICE) vulnerabilidades en aplicaciones populares, incluyendo Secure Shell (SSH), herramientas de administración de TI, una variedad de aplicaciones basadas en la nube, y bases de datos.informe de los expertos de Zscaler.

Los investigadores advierten que, si bien la botnet puede parecer inofensiva, como distribuye solo un minero de criptomonedas, pero en el futuro, Los operadores de DreamBus pueden pasar fácilmente a utilizar cargas útiles más peligrosas, incluyendo ransomware.

Permítanme recordarles que también escribí sobre el hecho de que Nuevo gusano para Android se propaga rápidamente a través de WhatsApp.

Por Vladimir Krasnogolovy

Vladimir es un especialista técnico al que le encanta dar consejos y sugerencias cualificados sobre los productos de GridinSoft. Está disponible las 24 horas del día, los 7 días de la semana para ayudarte con cualquier pregunta relacionada con la seguridad en Internet.

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *