Von einer neuen Bedrohung für Linux-Systeme mit dem Namen DreamBus berichtet nun die Sicherheitsfirma Zscaler. Demnach handele es sich um eine Variante eines älteren Botnetzes mit dem Namen SystemdMiner, welches Anfang 2019 entdeckt und mittlerweile stark verbessert wurde. Das Botnet zielt derzeit auf Anwendungen auf Unternehmensebene ab: Dazu gehören Anwendungen wie PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.

Die Anwendungen werden meist über Brute-Force-Angriffe gegen Standard-Administrator-Benutzernamen angegriffen. Auch bösartige Befehle, welche an exponierte API-Endpunkte gesendet werden, oder die Ausnutzung von Exploits für ältere Sicherheitslücken kommen vor. Die Ausbreitung der DreamBus-Malware erfolgt wurmartig, wobei sich die Schadsoftware auf verschiedensten Wegen effektiv über das Internet sowie auch in internen Netzwerken verbreitet. Auch hier werden implizites Vertrauen, schwache Kennwörter und nicht authentifizierte Schwachstellen bei der Remotecodeausführung (RCE) - etwa mit Secure Shell (SSH) - ausgenutzt.

Laut Zscaler wird auf infizierten Systemen eine Open-Source-App heruntergeladen und installiert, welche die Kryptowährung Monero (XMR) schürft. Jeder infizierte Server wird zudem verwendet, um weiteren Angriffe durchzuführen.

Brett Stone-Gross von Zscaler rät daher zu besonderer Vorsicht vor Malware wie DreamBus, auch da die Betreiber jederzeit auf gefährlichere Nutzlasten wie etwa Ransomware umsteigen könnten.

(jb, hannover)

(siehe auch: zdnet.de)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE