Botnet baru ini menargetkan server Linux yang menjalankan aplikasi perusahaan

Social Indo, admin 9

Botnet baru ini menargetkan server Linux yang menjalankan aplikasi perusahaan
Botnet baru ini menargetkan server Linux yang menjalankan aplikasi perusahaan

Perusahaan Peneliti keamanan dari tim ThreatLabZ Zscaler telah menemukan dan menganalisis keluarga malware berbasis Linux baru yang digunakan oleh penjahat cyber untuk menargetkan server Linux yang menjalankan aplikasi perusahaan.

Perusahaan keamanan siber telah menjuluki keluarga malware baru DreamBus dan sebenarnya merupakan varian dari botnet lama bernama SytemdMiner yang pertama kali muncul pada tahun 2019. Namun, versi DreamBus saat ini memiliki beberapa peningkatan jika dibandingkan dengan SystemdMiner.

Botnet DreamBus saat ini digunakan untuk menargetkan sejumlah aplikasi perusahaan populer termasuk PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack, dan layanan SSH, yang semuanya berjalan di server Linux.

Kami telah mengumpulkan daftar perangkat lunak perlindungan titik akhir terbaik
Ini adalah solusi perangkat lunak antivirus terbaik di pasaran
Lihat juga kumpulan server bisnis kecil terbaik kami
Sementara beberapa dari aplikasi ini telah ditargetkan dengan serangan brute-force, yang lain telah ditargetkan menggunakan perintah jahat yang dikirim ke titik akhir API yang terbuka atau dengan menggunakan eksploitasi untuk kerentanan yang lebih lama.

Botnet DreamBus

Penjahat cyber yang menyebarkan DreamBus melakukannya dengan tujuan mendapatkan pijakan di server Linux di mana mereka dapat mengunduh dan menginstal aplikasi sumber terbuka yang digunakan untuk menambang cryptocurrency Monero (XMR). Selain itu, setiap server yang terinfeksi kemudian menjadi bagian dari botnet,

Menurut Zscaler, DreamBus menggunakan beberapa langkah untuk menghindari terdeteksi termasuk fakta bahwa malware berkomunikasi dengan server command and control (C&C) botnet menggunakan protokol DNS-over-HTTPS (DoH) baru yang sangat rumit untuk disiapkan. Server C&C juga dihosting di jaringan Tor menggunakan alamat .onion agar lebih sulit untuk dihapus.

Direktur intelijen ancaman di Zscaler Brett Stone-Gross menjelaskan dalam sebuah laporan baru bahwa menemukan aktor ancaman di balik DreamBus akan sulit karena cara mereka menyembunyikan diri menggunakan Tor dan situs web berbagi file anonim, dengan mengatakan:

“Sementara DreamBus saat ini digunakan untuk menambang cryptocurrency, pelaku ancaman dapat beralih ke aktivitas yang lebih mengganggu seperti ransomware. Selain itu, kelompok ancaman lain dapat memanfaatkan teknik yang sama untuk menginfeksi sistem dan membahayakan informasi sensitif yang dapat dicuri dan dimonetisasi dengan mudah. Aktor ancaman DreamBus terus berinovasi dan menambahkan modul baru untuk mengkompromikan lebih banyak sistem, dan secara teratur mengeluarkan pembaruan dan perbaikan bug. Aktor ancaman di balik DreamBus kemungkinan akan melanjutkan aktivitas di masa mendatang yang tersembunyi di balik TOR dan situs web berbagi file anonim. ”

What's Your Reaction?

like
4
dislike
0
love
0
funny
1
angry
1
sad
1
wow
1