| 0 |
|
В отчете, опубликованном на прошлой неделе фирмой Zscaler, она предупредила о новой угрозе для онлайновых Linux-серверов, которая является вариантом ботнета SystemdMiner, впервые обнаруженного в начале 2019 года.
Текущая версия была названа DreamBus, она отличается от SystemdMiner несколькими улучшениями. Ботнет нацелен на широкий круг приложений корпоративного уровня для машин Linux, в том числе на PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack и сервис SSH.
Некоторые из этих приложений взламываются методом грубой силы — перебором типичных администраторских логинов, другие — вредоносными командами, отправляемыми на открытые конечные точки API, или с помощью эксплойтов для более старых уязвимостей.
Таким образом DreamBus пытается закрепиться в Linux-сервере, чтобы позднее установить на нём приложение с открытым кодом, которое добывает криптовалюту Monero (XMR) для злоумышленников из этой преступной группы. Каждый из инфицированных серверов также используется как бот для запуска дальнейших атак на другие потенциальные жертвы.
По информации Zscaler, при создании DreamBus авторы приложили много усилий, чтобы всячески затруднить обнаружение ботнета. В частности, все системы, зараженные этим вредоносным ПО, обменивались данными с сервером управления и контроля (C&C) по новому протоколу DNS-over-HTTPS (DoH). Вредоносные программы, поддерживающие DoH, встречаются очень редко, так как они очень сложны в настройке.
Для того, чтобы предотвратить отключение C&C-сервера, группа DreamBus разместила его в сети Tor, с адресом .onion.
Zscaler призвала компании не относиться легкомысленно к этому ботнету. Сейчас он устанавливает сравнительно безопасный криптомайнер, но в любой момент операторы могут легко переключиться на более рискованные рабочие нагрузки, например, программы-вымогатели.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
