Bleeping Computer 網(wǎng)站披露，新版 DreamBus 僵尸網(wǎng)絡(luò)惡意軟件利用 RocketMQ 服務(wù)器中一個(gè)嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞感染設(shè)備，漏洞被追蹤為 CVE-2023-33246，主要影響 RocketMQ 5.1.0 及以上版本。

據(jù)悉，Juniper Threat Labs 安全研究人員發(fā)現(xiàn)利用 CVE-2023-33246 漏洞進(jìn)行 DreamBus 攻擊的安全事件，并報(bào)告稱該攻擊在 2023 年 6 月中旬開始激增。

攻擊者利用未打補(bǔ)丁的服務(wù)器

Juniper Threat Labs 報(bào)告稱 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻擊主要針對(duì) RocketMQ 默認(rèn) 10911 端口以及其他七個(gè)端口。

攻擊數(shù)量時(shí)間表（Juniper Threat Labs）

研究人員發(fā)現(xiàn)網(wǎng)絡(luò)攻擊者使用 "interactsh "開源偵察工具確定互聯(lián)網(wǎng)服務(wù)器上運(yùn)行的軟件版本，并推斷出潛在的可利用漏洞。此外，研究人員還觀察到威脅攻擊者從 Tor 代理服務(wù)下載一個(gè)名為 "reketed "的惡意 bash 腳本（該混淆腳本是從 Tor 網(wǎng)站獲取的 DreamBus 主模塊（ELF 文件）的下載和安裝程序，在執(zhí)行后會(huì)被刪除，以盡量減少被檢測(cè)到的機(jī)會(huì)，可以躲過了 VirusTotal 上反病毒引擎的檢測(cè)）。

從 Tor 獲取有效載荷

DreamBus 主模塊采用定制的 UPX 包裝，因此能通過所有 VirusTotal AV 掃描而不被發(fā)現(xiàn)，該模塊有幾個(gè) base64 編碼的腳本，可執(zhí)行包括下載惡意軟件的附加模塊等不同的功能。主模塊對(duì)這些字符串進(jìn)行解碼以執(zhí)行任務(wù)，例如向 C2 發(fā)送在線狀態(tài)信號(hào)、下載 XMRig 開源 Monero 礦機(jī)、執(zhí)行其他 bash 腳本或下載新的惡意軟件版本。

XMRig 配置（Juniper Threat Labs）

DreamBus 通過設(shè)置一個(gè)系統(tǒng)服務(wù)和一個(gè) cron 作業(yè)（兩者都設(shè)置為每小時(shí)執(zhí)行一次）來確保其在受感染系統(tǒng)上保持持續(xù)活躍。

值得一提的是，該惡意軟件還包含使用 ansible、knife、salt 和 pssh 等工具的橫向傳播機(jī)制，以及一個(gè)能夠掃描外部和內(nèi)部 IP 范圍以發(fā)現(xiàn)漏洞的掃描儀模塊。

DreamBus 的傳播模塊（Juniper Threat Labs）

研究人員透露，DreamBus 惡意網(wǎng)絡(luò)活動(dòng)的主要目標(biāo)似乎是挖掘門羅幣，不過其模塊化特性允許網(wǎng)絡(luò)攻擊者隨時(shí)在未來更新中輕松擴(kuò)展其它功能。再考慮到 RocketMQ 服務(wù)器用于通信，網(wǎng)絡(luò)攻擊者理論上可以決定竊取被入侵設(shè)備管理的敏感對(duì)話數(shù)據(jù)，這樣的話可能比在被劫持的資源上進(jìn)行加密貨幣挖礦具有更大的貨幣化潛力。

據(jù)了解，早期版本的 DreamBus 惡意軟件還針對(duì) Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建議管理員對(duì)所有軟件產(chǎn)品進(jìn)行良好的補(bǔ)丁管理，以應(yīng)對(duì)這一網(wǎng)絡(luò)威脅。

文章來源：https://www.bleepingcomputer.com/news/security/dreambus-malware-exploits-rocketmq-flaw-to-infect-servers/