“DreamBus” Botnet ที่ Hacker โจมตีผ่าน Application บน Server Linux
นักวิจัยพบ “DreamBus” Botnet ที่ Hacker โจมตีผ่าน Application ที่ทำงานบน Server Linux เช่น PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack และ SSH Service
นักวิจัยกล่าวว่า Malware นี้มีโครงสร้างแบบแยกส่วนและโมดูลมีอัตราการตรวจจับต่ำ มีพฤติกรรมเหมือน Worm ซึ่งมีประสิทธิภาพสูงสามารถแพร่กระจายไปยังระบบที่ไม่ได้เชื่อมต่อ internet โดยตรง โดยการสแกนช่วงซับเน็ตส่วนตัว RFC 1918 สำหรับระบบที่มีช่องโหว่ ซึ่งบางโมดูลได้รับการออกแบบมาเพื่อทำการโจมตี Brute-force บน Application ที่ทำงานบน Server Linux
คุณสมบัติหลักของ “DreamBus” Botnet คือการขุด XMRig Monero cryptocurrency miner และมันยังสามารถปรับใช้ payload เพื่อดำเนินกิจกรรมที่เป็นอันตรายอื่น ๆ เช่น แพร่กระจาย Ransomware
ระบบที่ติด Virus จะสื่อสารกับ Server C2 ผ่านโปรโตคอล DNS-over-HTTPS (DoH) ใหม่เพื่อหลีกเลี่ยงการตรวจจับ
Server C2 ของ “DreamBus” Botnet ถูกโฮสต์บนเครือข่าย Tor เพื่อป้องกันการ Teckover
วิธ๊การป้องกัน
- Update OS ของเครื่องคอมพิวเตอร์ให้เป็น Version ปัจจุบัน
- 2.หมั่น Scan เครื่องคอมพิวเตอร์ด้วย Antivirus อย่างสม่ำเสมอ
ที่มา: https://securityaffairs.co/wordpress/113832/malware/dreambus-botnet-linux-servers.html