Аналітики компанії Zscaler розповіли про новий ботнет DreamBus, що є варіацією малварі SystemdMiner, що з'явилася ще у 2019 році.
DreamBus отримав ряд поліпшень у порівнянні з SystemdMiner. Так, в основному ботнет націлений на корпоративні програми, що працюють в Linux-системах, включаючи PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack і SSH. Деякі з них піддаються брутфос-атакам, під час яких малвар намагається використовувати облікові дані за замовчуванням, проти інших використовуються експлоїти для старих вразливостей.
Основне завдання DreamBus — дозволити своїм операторам закріпитися на сервері, щоб вони могли завантажити та встановити туди опенсорсний майнер для видобутку криптовалюти Monero (XMR). Крім того, частина заражених серверів використовується в якості ботів для розширення ботнету: подальших брутфорс-атак і пошуків інших можливих цілей.
Також експерти Zscaler відзначають, що DreamBus непогано захищений від виявлення. Наприклад, всі заражені малвар-системи, обмінюються даними з керуючим сервером ботнету, використовуючи новий протокол DNS-over-HTTPS (DoH), а сам C&C-сервер хакерів розміщений в Tor.
Дослідники попереджають, що поки ботнет може здатися безпечним, оскільки поширює лише кріптовалютний майнер, однак в майбутньому оператори DreamBus можуть легко переключитися на використання більш небезпечних пейлоадів, включаючи шифрувальники.