Les chercheurs en sécurité de l’équipe ThreatLabZ de Zscaler ont découvert et analysé une nouvelle famille de logiciels malveillants basés sur Linux qui est utilisée par les cybercriminels pour cibler les serveurs Linux exécutant des applications d’entreprise.
La société de cybersécurité a surnommé la nouvelle famille de logiciels malveillants DreamBus et il s’agit en fait d’une variante d’un ancien botnet appelé SytemdMiner qui est apparu pour la première fois en 2019. Cependant, les versions actuelles de DreamBus présentent plusieurs améliorations par rapport à SystemdMiner.
Le botnet DreamBus est actuellement utilisé pour cibler un certain nombre d’applications d’entreprise populaires, notamment PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack et le service SSH, qui fonctionnent toutes sur des serveurs Linux.
Alors que certaines de ces applications ont été ciblées par des attaques par force brute, d’autres ont été ciblées à l’aide de commandes malveillantes envoyées aux points de terminaison d’API exposés ou en utilisant des exploits pour des vulnérabilités plus anciennes.
Sommaire
Réseau de zombies DreamBus
Les cybercriminels qui déploient DreamBus le font dans le but de prendre pied sur les serveurs Linux où ils peuvent télécharger et installer une application open source utilisée pour l’extraction de la crypto-monnaie Monero (XMR). De plus, chaque serveur infecté fait alors partie du botnet,
Selon Zscaler, DreamBus utilise plusieurs mesures pour éviter d’être détecté, y compris le fait que le malware communique avec le serveur de commande et de contrôle (C&C) du botnet en utilisant le nouveau protocole DNS-over-HTTPS (DoH) qui est très complexe à mettre en place. Le serveur C&C est également hébergé sur le réseau Tor en utilisant une adresse .onion pour le rendre plus difficile à démonter.
Le directeur du renseignement sur les menaces chez Zscaler Brett Stone-Gross a expliqué dans un nouveau rapport qu’il sera difficile de trouver l’acteur de la menace derrière DreamBus en raison de la façon dont ils se sont cachés à l’aide de Tor et de sites Web de partage de fichiers anonymes, en disant:
«Alors que DreamBus est actuellement utilisé pour l’extraction de crypto-monnaie, l’acteur de la menace pourrait se tourner vers des activités plus perturbatrices telles que les ransomwares. En outre, d’autres groupes de menaces pourraient utiliser les mêmes techniques pour infecter les systèmes et compromettre les informations sensibles qui peuvent être volées et facilement monétisées. L’acteur de menaces DreamBus continue d’innover et d’ajouter de nouveaux modules pour compromettre davantage de systèmes, et publie régulièrement des mises à jour et des corrections de bogues. L’acteur de la menace derrière DreamBus est susceptible de poursuivre ses activités dans un avenir prévisible, caché derrière TOR et les sites Web de partage de fichiers anonymes. »
Via ZDNet
