Uma nova versão do malware DreamBus botnet explora uma vulnerabilidade crítica de execução de código remoto nos servidores RocketMQ para infectar dispositivos.
A falha explorada, rastreada como
CVE-2023-33246
, é um problema de verificação de permissão que afeta a versão 5.1.0 e anteriores do RocketMQ, permitindo que os invasores executem comandos remotos sob certas condições.
Os recentes ataques do DreamBus que exploram essa falha foram identificados por pesquisadores do Juniper Threat Labs, que reportaram um aumento na atividade em meados de junho de 2023.
Os Juniper Threat Labs relatam ter visto os primeiros ataques do DreamBus explorando
CVE-2023-33246
no início de junho de 2023, visando a porta 10911 padrão do RocketMQ e outras sete portas.
Os invasores usaram a ferramenta de reconhecimento de código aberto 'interactsh' para determinar qual versão de software roda em servidores expostos na internet e deduzir vulnerabilidades potencialmente exploráveis.
Os pesquisadores também observaram o ator da ameaça baixando um script malicioso Bash chamado 'reketed' de um serviço de proxy Tor, que evitou a detecção pelos motores antivírus do VirusTotal.
Este script ofuscado é um downloader e instalador do módulo principal do DreamBus (arquivo ELF), que é obtido de um site Tor.
O arquivo é excluído após execução para minimizar as chances de ser detectado.
O módulo principal do DreamBus, que também passa por todos os scans antivírus do VirusTotal sem ser detectado graças ao UPX packing personalizado, contém vários scripts codificados em base64 que realizam diferentes funções, incluindo o download de módulos adicionais para o malware.
O módulo principal decodifica essas strings para realizar tarefas como sinalizar seu status online para o C2, baixar o minerador Monero de código aberto XMRig, executar scripts bash adicionais, ou baixar uma nova versão do malware.
O DreamBus garante que permanece ativo em sistemas infectados, configurando um serviço de sistema e um trabalho cron, ambos configurados para executar de hora em hora.
O malware também contém mecanismos de propagação lateral usando ferramentas como ansible, knife, salt e pssh, e um módulo de scanner que varre faixas de IP internas e externas para buscar vulnerabilidades descobertas.
O principal objetivo da campanha DreamBus em andamento parece ser a mineração Monero, embora sua natureza modular possa permitir que os invasores ampliem facilmente suas capacidades em uma atualização futura.
Considerando que servidores RocketMQ são usados em comunicações, os invasores poderiam, teoricamente, decidir acessar dados de conversas sensíveis gerenciados por dispositivos violados, o que poderia ter um potencial de monetização maior que a mineração de criptomoedas em recursos sequestrados.
Para interromper os mais recentes ataques do DreamBus, é recomendado que os administradores do RocketMQ atualizem para a versão 5.1.1 ou posterior.
Versões anteriores do malware DreamBus também são conhecidas por direcionar o Redis, PostgreSQL, Hadoop YARN, Apache Spark, HashiCorp Consul e SaltStack, portanto, é recomendado seguir uma boa gestão de patches em todos os produtos de software para enfrentar esta ameaça.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...