Новая версия вредоносной бот-сети DreamBus использует для заражения устройств критическую уязвимость удаленного выполнения кода в серверах RocketMQ.
Эксплуатируемый недостаток, отслеживаемый как CVE-2023-33246, представляет собой проблему проверки прав доступа, которая затрагивает RocketMQ версии 5.1.0 и старше, позволяя злоумышленникам при определенных условиях осуществлять удаленное выполнение команд.
Недавние атаки DreamBus, использующие этот недостаток, были замечены исследователями из Juniper Threat Labs, которые сообщили о всплеске активности в середине июня 2023 года.
Эксплуатация непропатченных серверов
Juniper Threat Labs сообщает, что первые DreamBus-атаки, использующие CVE-2023-33246, были замечены в начале июня 2023 года. Они были направлены на порт RocketMQ 10911, используемый по умолчанию, и семь других портов.
Злоумышленники использовали инструмент разведки с открытым исходным кодом 'interactsh' для определения версии программного обеспечения, установленного на открытых для доступа в Интернет серверах, и выявления потенциально уязвимых мест.
Исследователи также заметили, что злоумышленник загрузил вредоносный bash-скрипт под именем 'reketed' с прокси-сервиса Tor, который не был обнаружен антивирусными системами на VirusTotal.
Этот обфусцированный скрипт представляет собой загрузчик и установщик главного модуля DreamBus (ELF-файл), который берется с сайта Tor. Для снижения вероятности обнаружения файл после выполнения удаляется.
Основной модуль DreamBus, который также проходит все AV-сканирования VirusTotal без обнаружения благодаря специальной упаковке UPX, содержит несколько скриптов в base64-кодировке, выполняющих различные функции, в том числе загрузку дополнительных модулей для вредоносной программы.
Основной модуль декодирует эти строки для выполнения таких задач, как сигнализация о своем онлайн-статусе в C2, загрузка майнера Monero с открытым исходным кодом XMRig, выполнение дополнительных bash-скриптов или загрузка новой версии вредоносной программы.
Для поддержания активности DreamBus на зараженных системах устанавливаются системная служба и задание cron, которые выполняются ежечасно.
Вредоносная программа также содержит механизмы латерального распространения с использованием таких инструментов, как ansible, knife, salt и pssh, а также модуль сканера, который проверяет внешние и внутренние диапазоны IP-адресов на наличие уязвимостей.
Основной целью кампании DreamBus, судя по всему, является майнинг Monero, хотя модульный характер программы может позволить злоумышленникам легко расширить ее возможности в будущем обновлении.
Учитывая, что серверы RocketMQ используются в коммуникациях, злоумышленники теоретически могут решить воспользоваться конфиденциальными данными разговоров, которые ведутся на взломанных устройствах, что может иметь больший потенциал монетизации, чем майнинг криптовалют на взломанных ресурсах.
Для предотвращения последних атак DreamBus администраторам RockerMQ рекомендуется обновить систему до версии 5.1.1 или более поздней.
Известно, что более ранние версии вредоносной программы DreamBus также нацелены на Redis, PostgreSQL, Hadoop YARN, Apache Spark, HashiCorp Consul и SaltStack, поэтому для борьбы с этой угрозой рекомендуется соблюдать правильное управление исправлениями во всех программных продуктах.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!