Zscaler’in ThreatLabZ ekibinden güvenlik araştırmacıları, siber suçlular tarafından kurumsal uygulamaları çalıştıran Linux sunucularını hedeflemek için kullanılan Linux tabanlı yeni bir kötü amaçlı yazılım ailesini keşfetti ve analiz etti.
Siber güvenlik firması, yeni kötü amaçlı yazılım ailesine DreamBus adını verdi. Bu botnet ilk kez 2019’da ortaya çıkan SytemdMiner adlı eski bir botnet’in bir çeşididir. Bununla birlikte, DreamBus’un mevcut sürümleri, SystemdMiner ile karşılaştırıldığında çeşitli iyileştirmeler içeriyor.
DreamBus botnet şu anda tümü Linux sunucularında çalışan PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack ve SSH hizmeti dahil olmak üzere bir dizi popüler kurumsal uygulamayı hedeflemek için kullanılıyor. Bu uygulamalardan bazıları kaba kuvvet saldırılarıyla hedeflenirken diğerleri ise açığa çıkan API uç noktalarına gönderilen kötü amaçlı komutlar kullanılarak veya eski güvenlik açıkları için açıklardan yararlanılarak hedef alındı.
DreamBus’u kullanan siber suçlular, bunu kripto para birimi Monero (XMR) madenciliği için kullanılan açık kaynaklı bir uygulamayı indirip yükleyebilecekleri Linux sunucularında bir yer edinmek amacıyla yapıyor. Etkilenen her sunucu ise botnet’in bir parçası oluyor.
Zscaler’a göre, DreamBus tespit edilmekten kaçınmak için botnet’in komut ve kontrol (C&C) sunucusuyla, kurulumu çok karmaşık olan yeni DNS-over-HTTPS (DoH) protokolünü kullanarak iletişim kurması da dahil olmak üzere çeşitli önlemler kullanıyor. C&C sunucusu ayrıca, kaldırılmasını zorlaştırmak için bir .onion adresi kullanarak Tor ağında barındırılıyor.
Zscaler’ın tehdit istihbaratı direktörü Brett Stone-Gross, yeni bir raporda DreamBus’un arkasındaki tehdit aktörünü bulmanın Tor ve anonim dosya paylaşım web sitelerini kullanarak kendilerini nasıl gizlediklerinden dolayı zor olacağını açıkladı:
“DreamBus şu anda kripto para madenciliği için kullanılırken tehdit aktörü, fidye yazılımı gibi daha yıkıcı faaliyetlere dönebilir. Buna ek olarak, diğer tehdit grupları sistemlere bulaşmak ve çalınabilen ve kolayca para kazanılabilen hassas bilgileri tehlikeye atmak için aynı teknikleri kullanabilir. DreamBus tehdit aktörü, daha fazla sistemi tehlikeye atmak için yenilikler yapmaya ve yeni modüller eklemeye devam ediyor ve düzenli olarak güncellemeler ve hata düzeltmeleri yapıyor. DreamBus’un arkasındaki tehdit aktörünün, Tor ve anonim dosya paylaşım web sitelerinin arkasında saklı olan öngörülebilir faaliyetlerini sürdürmesi muhtemel.”