Το DreamBus malware εκμεταλλεύεται μια ευπάθεια του RocketMQ για να μολύνει servers.
Μια νέα έκδοση του DreamBus malware εκμεταλλεύεται μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα υψηλής σοβαρότητας σε διακομιστές RocketMQ για να μολύνει συσκευές.
Η αδυναμία που εκμεταλλεύεται, με αναγνωριστικό CVE-2023-33246, είναι ένα πρόβλημα επαλήθευσης άδειας που επηρεάζει την έκδοση RocketMQ 5.1.0 και παλαιότερες, επιτρέποντας σε επιτιθέμενους να εκτελέσουν απομακρυσμένη εντολή υπό συγκεκριμένες συνθήκες.
Οι πρόσφατες επιθέσεις DreamBus που εκμεταλλεύονται αυτήν την αδυναμία εντοπίστηκαν από ερευνητές στα Juniper Threat Labs, οι οποίοι ανέφεραν μια αύξηση στη δραστηριότητα τον Ιούνιο του 2023.
Αξιοποίηση unpatched server
Το Juniper Threat Labs αναφέρει ότι είδε τις πρώτες επιθέσεις DreamBus που εκμεταλλεύονται το CVE-2023-33246 στις αρχές Ιουνίου 2023, με στόχο την προεπιλεγμένη θύρα 10911 του RocketMQ και άλλες επτά θύρες.
Οι επιτιθέμενοι χρησιμοποίησαν το ανοικτού κώδικα εργαλείο αναγνώρισης ‘interactsh’ για να προσδιορίσουν ποια έκδοση λογισμικού τρέχει σε διαδικτυακούς διακομιστές που είναι εκτεθειμένοι στο διαδίκτυο και να εξάγουν πιθανές εκμεταλλεύσιμες ευπάθειες.
Οι ερευνητές εντόπισαν επίσης τον απειλητικό δράστη να κατεβάζει ένα κακόβουλο bash script με το όνομα “reketed” από έναν Tor proxy service, το οποίο απέφευγε την ανίχνευση από τις μηχανές AV στο VirusTotal.
Αυτό το obfuscated script είναι πρόγραμμα λήψης και εγκατάστασης για το κύριο module DreamBus (αρχείο ELF), η οποία έχει ληφθεί από ένα Tor site. Το αρχείο διαγράφεται μετά την εκτέλεση για να ελαχιστοποιηθούν οι πιθανότητες εντοπισμού.
Το κύριο DreamBus module, το οποίο περνά επίσης απαρατήρητο από όλες τις ανιχνεύσεις του VirusTotal AV χάρη στην προσαρμοσμένη συμπίεση UPX, περιλαμβάνει αρκετά κρυπτογραφημένα με base64 scripts που εκτελούν διάφορες λειτουργίες, συμπεριλαμβανομένης της λήψης επιπλέον αρχείων για το κακόβουλο λογισμικό.
Το κύριο module αποκωδικοποιεί αυτά τα strings για να εκτελέσει εργασίες όπως το σήμανση της διαδικτυακής του κατάστασης στο C2, το κατέβασμα του ανοιχτού κώδικα Monero miner XMRig, την εκτέλεση επιπλέον bash scripts ή το κατέβασμα μιας νέας έκδοσης κακόβουλου λογισμικού.
Το DreamBus διασφαλίζει την ενεργοποίησή του σε μολυσμένα συστήματα μέσω της δημιουργίας ενός υπηρεσίας συστήματος και μιας προγραμματισμένης εργασίας cron, που και οι δύο εκτελούνται ανά ώρα.
Το malware περιλαμβάνει επίσης μηχανισμούς εξάπλωσης με χρήση εργαλείων όπως το ansible, το knife, το salt και το pssh, καθώς και ένα scanner module που ελέγχει εξωτερικούς και εσωτερικούς εύρους διευθύνσεων IP για ευρετηριοποίηση ευπαθειών.
Ο κύριος στόχος της διαρκούς επιθέσεως DreamBus φαίνεται να είναι η εξόρυξη του κρυπτονομίσματος Monero, αν και το modular της θα μπορούσε να επιτρέψει στους επιτιθέμενους να επεκτείνουν εύκολα τις δυνατότητές της σε μελλοντική ενημέρωση.
Λαμβάνοντας υπόψη ότι οι RocketMQ servers χρησιμοποιούνται στις επικοινωνίες, οι επιτιθέμενοι θα μπορούσαν θεωρητικά να αποφασίσουν να παρακολουθήσουν ευαίσθητα δεδομένα συνομιλίας που διαχειρίζονται οι παραβιασμένες συσκευές, το οποίο θα μπορούσε να έχει μεγαλύτερη δυνατότητα κερδοφορίας από τον κρυπτονομισματικό εξορυκτή σε hijacked resources.
Για να σταματήσετε τις πιο πρόσφατες επιθέσεις DreamBus, συνιστάται στους διαχειριστές του RockerMQ να κάνουν αναβάθμιση σε έκδοση 5.1.1 ή νεότερη.
Προηγούμενες εκδόσεις του κακόβουλου λογισμικού DreamBus είναι επίσης γνωστό ότι στοχεύουν τα Redis, PostgreSQL, Hadoop YARN, Apache Spark, HashiCorp Consul και SaltStack, επομένως συνιστάται η σωστή διαχείριση ενημερώσεων κώδικα σε όλα τα προϊόντα λογισμικού για την αντιμετώπιση αυτής της απειλής.
Πηγή πληροφοριών: bleepingcomputer.com