Von einer neuen Bedrohung für Linux-Systeme mit dem Namen
DreamBus berichtet
nun die Sicherheitsfirma Zscaler. Demnach handele es sich um
eine Variante eines älteren Botnetzes mit dem Namen SystemdMiner,
welches Anfang 2019 entdeckt und mittlerweile stark verbessert wurde.
Das Botnet zielt derzeit auf Anwendungen auf Unternehmensebene ab:
Dazu gehören Anwendungen wie PostgreSQL, Redis, Hadoop YARN,
Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.
Die Anwendungen werden meist über Brute-Force-Angriffe
gegen Standard-Administrator-Benutzernamen angegriffen. Auch bösartige
Befehle, welche an exponierte API-Endpunkte gesendet werden, oder
die Ausnutzung von Exploits für ältere Sicherheitslücken
kommen vor. Die Ausbreitung der DreamBus-Malware erfolgt wurmartig,
wobei sich die Schadsoftware auf verschiedensten Wegen effektiv
über das Internet sowie auch in internen Netzwerken verbreitet.
Auch hier werden implizites Vertrauen, schwache Kennwörter
und nicht authentifizierte Schwachstellen bei der Remotecodeausführung
(RCE) - etwa mit Secure Shell (SSH) - ausgenutzt.
Laut Zscaler wird auf infizierten Systemen eine Open-Source-App
heruntergeladen und installiert, welche die Kryptowährung Monero
(XMR) schürft. Jeder infizierte Server wird zudem verwendet,
um weiteren Angriffe durchzuführen.
Brett Stone-Gross von Zscaler rät daher zu besonderer Vorsicht
vor Malware wie DreamBus, auch da die Betreiber jederzeit auf gefährlichere
Nutzlasten wie etwa Ransomware umsteigen könnten.
(jb, hannover)
(siehe auch: zdnet.de)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|