DreamBus, FreakOut Botnets plantean una nueva amenaza para Linux …



Los investigadores de Zscaler y Examine Stage describen las botnets como diseñadas para ataques DDoS, minería de criptomonedas y otros fines maliciosos.

En los últimos días han surgido dos nuevas y peligrosas redes de bots dirigidas a sistemas basados ​​en Linux en todo el mundo.

Uno de ellos, denominado «DreamBus», es un malware con un comportamiento similar a un gusano que es capaz de propagarse tanto a través de World wide web como lateralmente a través de redes internas comprometidas utilizando una variedad de técnicas.

Los investigadores de Zscaler que analizaron recientemente la amenaza describieron DreamBus como una pieza modular de malware dirigido a aplicaciones Linux que se ejecutan en sistemas de hardware con CPU potentes y grandes cantidades de memoria.

La botnet DreamBus que se ha ensamblado a partir de sistemas que el malware ha comprometido se está utilizando actualmente para implementar el minero de CPU XMRig para extraer la criptomoneda Monero. Pero el mismo malware se puede reutilizar fácilmente para entregar otras cargas útiles más peligrosas, como ransomware y malware, para robar y retener datos a cambio de un rescate, dice Brett Stone-Gross, director de inteligencia de amenazas en Zscaler.

«DreamBus puede implementar módulos arbitrarios y ejecutar comandos arbitrarios en un sistema remoto», dice. «Dada la prevalencia de las aplicaciones de software package a las que se apunta y las técnicas agresivas de propagación similares a gusanos, el número (de sistemas comprometidos) es probablemente de decenas de miles».

En su aviso, Zscaler describió que DreamBus tiene una variedad de módulos para la autopropagación a través de las redes Interent y corporativa.

El malware se puede propagar entre sistemas que no están expuestos a Online al escanear el espacio de direcciones IP RFC 1918 no público en busca de sistemas Linux vulnerables. Entre los muchos módulos que utiliza el malware para la propagación se encuentran aquellos que explotan la confianza implícita y las contraseñas débiles y que permiten la ejecución remota de código no autenticado en aplicaciones como Secure Shell (SSH), aplicaciones y bases de datos basadas en la nube y herramientas de administración. Algunas de las vulnerabilidades específicas de la aplicación del malware incluyen aquellas dirigidas a Apache Spark, SaltStack, Hadoop YARN y HashiCorp Consul.

El componente principal de DreamBus es un binario en formato ejecutable y enlazable (ELF) que puede extenderse a través de SSH o se descarga a través de HTTP. La infraestructura de comando y command de la botnet está alojada en la purple TOR y en servicios de intercambio de archivos anónimos que aprovechan el protocolo HTTP, según Zscaler. La telemetría disponible sugiere que los operadores de botnet tienen su sede en Rusia o en un país de Europa del Este, dijo Zscaler.

«No existe un vector de ataque inicial único, ya que cada componente es capaz de comprometer un sistema», dice Stone-Gross. La mayoría de las vulnerabilidades que se explotan son contraseñas débiles o una vulnerabilidad de la aplicación en la que no se requiere autenticación (confianza implícita) o se pueden evitar fácilmente, como SaltStack.

Una característica clave de DreamBus es que puede extenderse lateralmente en una red interna que no es de acceso público, dice Stone-Gross.

«Los sistemas detrás de un firewall corporativo a menudo no están tan bien protegidos porque las personas pueden asumir incorrectamente que solo otros empleados tienen acceso a la red», dice.

Botnet de FreakOut
Mientras tanto, Check Level dijo a principios de esta semana que había observado una botnet, que denominó «Asustarse, «dirigidos a sistemas que ejecutan versiones vulnerables del sistema operativo TerraMaster para servidores de almacenamiento conectados a la purple, aplicaciones web y servicios que utilizan Zend Framework y Liferay Portal CMS.

El malware está diseñado para explotar una vulnerabilidad recientemente revelada en cada una de las tres tecnologías: un error de inyección de comando en TerraMaster TOS (CVE-2020-28188), un mistake de deserialización inseguro en Liferay Portal (CVE-2020-7961) y un handle remoto. falla de ejecución de código en Zend Framework (CVE-2021-3007).

Las máquinas que el malware ha comprometido se han ensamblado en una botnet que se utiliza en la denegación de servicio distribuida (ataques DDoS_ y con fines de criptominería, dijo Look at Position.

Adi Ikan, investigador de seguridad de Check Level, dice que la compañía tiene evidencia directa de más de 185 servidores infectados que actualmente forman parte de la botnet FreakOut. Los investigadores de Test Issue también han observado cientos de otros intentos de ataque adicionales, la mayoría de los cuales han tenido lugar en los EE. UU. Y, en menor medida, en países europeos como Alemania y los Países Bajos.

«Según nuestros sensores, hay más de 9.000 servidores que son vulnerables a esas vulnerabilidades y también están expuestos a Internet», dice Ikan. El hecho de que el atacante esté apuntando a vulnerabilidades muy nuevas en cada una de las tres tecnologías de Linux es significativo porque destaca la importancia de abordar los problemas de seguridad rápidamente.

«El malware asociado con esta campaña está bien equipado con sus capacidades (y está diseñado) para realizar diversas actividades maliciosas», dice Ikan.

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en periodismo comercial de TI. Más recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial