Botnet de DreamBus

Los sistemas Linux y Unix están amenazados por una nueva y poderosa botnet llamada DreamBus. Los investigadores estimaron que decenas de miles de sistemas podrían haberse visto comprometidos. Un factor clave que contribuye a la potencia de DreamBus es su capacidad similar a un gusano para propagarse tanto a través de Internet como lateralmente una vez dentro de la red privada de la víctima. Por ahora, el actor de amenazas se contenta con implementar una carga útil de cripto-minero, lo que también explica la preferencia por infectar sistemas con componentes de hardware potentes, como una CPU robusta y una mayor cantidad de memoria disponible. Si bien la campaña no se ha atribuido a un grupo de piratas informáticos específico, los investigadores analizaron las marcas de tiempo de los comandos que se envían a DreamBus y concluyeron que los ciberdelincuentes probablemente sean de Rusia o de un país de Europa del Este.

DreamBus es altamente modular

La amenaza está construida con un diseño modular que permite al actor de amenazas implementar nuevos módulos de manera constante, aumentando las capacidades de DreamBus. El componente principal está contenido en un archivo de formato ejecutable y enlazable (ELF) que puede distribuir copias de sí mismo a través de Secure Shell (SSH) o descargarse a través de HTTP. El binario tiene la tarea de preparar el entorno del sistema infectado para una mayor escalada del ataque, implementar módulos adicionales para propagarse y entregar la carga útil final: un malware XMRig que secuestra los recursos del sistema comprometido para extraer monedas de Monero.

El movimiento lateral de la botnet a través de dispositivos que no se enfrentan directamente a la Internet pública se logra a través de un módulo que escanea el espacio de direcciones IP interno RFC 1918 en busca de objetivos vulnerables que coincidan con los criterios del ataque. Otros módulos de propagación aprovechan las contraseñas débiles, así como las vulnerabilidades de ejecución remota de código en una variedad de aplicaciones populares, incluidas SSH, herramientas de administración y bases de datos basadas en la nube. La amenaza está dirigida específicamente a Apache Spark, Hadoop YARN, HashiCorp Consul y SaltStack. La infraestructura de comando y control para las operaciones está alojada en la red TOR y en servicios de intercambio de archivos anónimos que utilizan HTTP.

Los expertos en seguridad informática que analizaron DreamBus advierten que el objetivo final de la operación amenazante podría evolucionar fácilmente desde la entrega de un cripto minero hasta la implementación de un malware mucho más amenazante. El actor de la amenaza podría cambiar a una carga útil de ransomware o una herramienta de exfiltración de datos.