Una nuova versione del malware botnet DreamBus sfrutta una vulnerabilità critica di esecuzione di codice remoto nei server RocketMQ per infettare i dispositivi.
Dettagli sulla vulnerabilità sfruttata
La vulnerabilità sfruttata, identificata come CVE-2023-33246, riguarda un problema di verifica delle autorizzazioni che colpisce RocketMQ versione 5.1.0 e precedenti. Questa vulnerabilità permette agli attaccanti di eseguire comandi remoti in determinate condizioni. Gli attacchi recenti di DreamBus che sfruttano questa vulnerabilità sono stati individuati dai ricercatori di Juniper Threat Labs, che hanno segnalato un picco di attività a metà giugno 2023.
Sfruttamento di server non aggiornati
Juniper Threat Labs ha rilevato i primi attacchi di DreamBus che sfruttavano CVE-2023-33246 all’inizio di giugno 2023, prendendo di mira la porta predefinita 10911 di RocketMQ e altre sette porte. Gli attaccanti hanno utilizzato lo strumento open-source “interactsh” per determinare la versione del software eseguita sui server esposti su Internet e dedurre vulnerabilità potenzialmente sfruttabili. I ricercatori hanno anche osservato l’attore della minaccia scaricare uno script bash maligno chiamato “reketed” da un servizio proxy Tor, evitando la rilevazione da parte degli AV su VirusTotal.
Funzionalità del malware DreamBus
Dopo l’installazione, DreamBus assicura la sua persistenza sui sistemi infettati impostando un servizio di sistema e un lavoro cron, entrambi configurati per essere eseguiti ogni ora. Il malware contiene anche meccanismi di diffusione laterale utilizzando strumenti come ansible, knife, salt e pssh, e un modulo scanner che analizza le gamme di IP esterne e interne alla ricerca di vulnerabilità scopribili.
Obiettivo della campagna DreamBus
L’obiettivo principale della campagna DreamBus in corso sembra essere il mining di Monero, anche se la sua natura modulare potrebbe permettere agli attaccanti di espandere facilmente le sue capacità in un futuro aggiornamento. Considerando che i server RocketMQ sono utilizzati nelle comunicazioni, gli attaccanti potrebbero teoricamente decidere di accedere ai dati sensibili gestiti dai dispositivi violati.
Raccomandazioni
Per fermare gli attacchi di DreamBus, si raccomanda agli amministratori di RocketMQ di aggiornare alla versione 5.1.1 o successiva. È anche consigliato seguire una buona gestione delle patch per tutti i prodotti software per affrontare questa minaccia.
Cos’è DreamBus?
DreamBus è un malware botnet noto per sfruttare vulnerabilità in vari software per infettare i dispositivi e svolgere attività dannose, come il mining di criptovalute.
Cos’è RocketMQ?
RocketMQ è un sistema di messaggistica distribuita e una piattaforma di calcolo in streaming sviluppata da Alibaba Group. È un broker di messaggi open-source che può gestire grandi quantità di dati e offre funzionalità come l’invio di messaggi affidabile, l’ordine dei messaggi e la programmazione dei messaggi. Viene utilizzato in molte applicazioni per garantire la consegna di messaggi in ambienti distribuiti e scalabili.