นักวิจัยพบ “DreamBus” Botnet ที่ Hacker โจมตีผ่าน Application ที่ทำงานบน Server Linux เช่น PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack และ SSH Service
นักวิจัยกล่าวว่า Malware นี้มีโครงสร้างแบบแยกส่วนและโมดูลมีอัตราการตรวจจับต่ำ มีพฤติกรรมเหมือน Worm ซึ่งมีประสิทธิภาพสูงสามารถแพร่กระจายไปยังระบบที่ไม่ได้เชื่อมต่อ internet โดยตรง โดยการสแกนช่วงซับเน็ตส่วนตัว RFC 1918 สำหรับระบบที่มีช่องโหว่ ซึ่งบางโมดูลได้รับการออกแบบมาเพื่อทำการโจมตี Brute-force บน Application ที่ทำงานบน Server Linux
คุณสมบัติหลักของ “DreamBus” Botnet คือการขุด XMRig Monero cryptocurrency miner และมันยังสามารถปรับใช้ payload เพื่อดำเนินกิจกรรมที่เป็นอันตรายอื่น ๆ เช่น แพร่กระจาย Ransomware
ระบบที่ติด Virus จะสื่อสารกับ Server C2 ผ่านโปรโตคอล DNS-over-HTTPS (DoH) ใหม่เพื่อหลีกเลี่ยงการตรวจจับ
Server C2 ของ “DreamBus” Botnet ถูกโฮสต์บนเครือข่าย Tor เพื่อป้องกันการ Teckover
วิธ๊การป้องกัน
- Update OS ของเครื่องคอมพิวเตอร์ให้เป็น Version ปัจจุบัน
- 2.หมั่น Scan เครื่องคอมพิวเตอร์ด้วย Antivirus อย่างสม่ำเสมอ
ที่มา: https://securityaffairs.co/wordpress/113832/malware/dreambus-botnet-linux-servers.html