A través de un informe publicado por la firma de seguridad Zscaler, se pudo conocer que esta nueva amenaza, “DreamBus”, es una variante de la botnet SystemdMiner, vista por primera vez a principios de 2019 ataca a aplicaciones ejecutadas en Linux.
Esta nueva botnet apunta a una serie de aplicaciones empresariales tales como PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack y el servicio SSH que funcionan a través de servidores Linux.
Si bien, algunas de estas aplicaciones han sido objetivo de ataques de fuerza bruta, otras han sido dirigidas utilizando comandos maliciosos enviados a endpoints de API expuestos o por medio de exploits para vulnerabilidades antiguas.
Botnet DreamBus
Este malware tiene una estructura modular con una tasa de detección baja lo que lo vuelve potencialmente peligroso. A la vez, tiene un comportamiento similar a un gusano, el cual logra propagarse a sistemas que no están directamente expuestos a internet escaneando rangos de subredes privados FRC 1918 en busca de sistemas vulnerables
Los investigadores de Zscaler detallaron que DreamBus utiliza técnicas para evitar su detección como la comunicación C2 con la botnet a través del nuevo protocolo DNS-over-HTTPS (DoH). Además, para evitar que el servidor C&C se caiga, DreamBus se alojó en la red Tor; a través de una dirección “.onion”.
Una de las características principales de la botnet es la capacidad de extraer el minero de criptomonedas “XMRig Monero”, el cual se puede ejecutar para implementar otras cargas útiles para llevar a cabo actividades maliciosas del tipo ransomware ( robo de datos), por ejemplo.
Panorama
Gracias a la información obtenida por la investigación de Zscaler se puede esclarecer que esta nueva amenaza tiene origen y opera desde Rusia o Europa del Este. Asimismo, se alerta que aunque por el momento DreamBus se usa para la minería de criptomonedas, la capacidad de que el actor detrás de la botnet actualice y cambies sus actividades a unas más disruptivas como el Ransomware son bastantes altas.
Según Zscaler, el actor detrás de la nueva amenaza “innova y agrega nuevos módulos para comprometer más sistemas lanzando actualizaciones y arreglos. Es probable que el actor de amenazas detrás de DreamBus continúe operando en el futuro previsible, escondido detrás de TOR y sitios web de intercambio de archivos anónimos”.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.zscaler.com/blogs/security-res... |
Tipo | Indicador |
---|---|
hash | b3f16e2bc3280aabf5d7ed625e... |
hash | 616356443c43b632ea7c6fa9ca9... |
hash | 59ea5c017d224251bc5ec3a42e... |
hash | 47911f68a8df706e17cf600582... |
hash | aa38ca6252eee5c7a2cb51a7a2... |
IP | 94.237.85.89 |
IP | 153.127.216.132 |
IP | 164.132.105.114 |
IP | 136.243.90.99 |
IP | 94.176.237.229 |
url | dreambusweduybcp.onion |
url | qsts2vqotnlh2h5xwa7fp3iopb... |
url | i62hmnztfpzwrhjg34m6ruxem5... |