Una nuova versione del malware botnet DreamBus sfrutta una vulnerabilità critica legata all’esecuzione di codice in modalità remota nei server RocketMQ per infettare i dispositivi.
Questa falla di sicurezza, nota con il nome in codice CVE-2023-33246, è un problema di verifica delle autorizzazioni che influisce su RocketMQ versione 5.1.0 e precedenti, consentendo agli aggressori di eseguire l’esecuzione di comandi remoti in determinate condizioni.
I recenti attacchi DreamBus che sfruttano questa vulnerabilità sono stati individuati dai ricercatori di Juniper Threat Labs, che hanno segnalato un picco nei casi corrispondente a metà giugno 2023. Nei casi finora registrati, gli specialisti hanno notato come il malware prende di mira la porta predefinita 10911, e altre sette porte, dei dispositivi vulnerabili.
DreamBus prende di mira i server RocketMQ per minare criptovalute
Gli aggressori hanno utilizzato lo strumento di ricognizione open source interactsh per determinare quale versione del software viene eseguita sui server esposti a Internet e, nel caso, individuare la vulnerabilità.
I ricercatori hanno anche osservato come, nel contesto dell’attacco, viene utilizzato uno script bash dannoso noto come “reketed” da un servizio proxy Tor, che aumenta in modo considerevole il livello di elusività del malware.
Questo script offuscato è un downloader e svolge anche la funziona di installare il modulo principale DreamBus (file ELF), che viene recuperato anch’esso da un sito Tor. Il file viene eliminato dopo l’esecuzione per ridurre al minimo le possibilità di rilevamento.
Il malware contiene anche meccanismi di diffusione laterale che utilizzano strumenti come ansible, knife, salt e pssh e un modulo di scansione che analizza gli intervalli IP esterni e interni alla ricerca di falle rilevabili.
L’obiettivo principale della campagna DreamBus in corso sembra essere il mining di Monero (come successo recentemente anche con BlackCat), anche se la sua natura modulare potrebbe consentire agli aggressori di espandere facilmente le sue capacità con uno o più futuri aggiornamenti.
Considerando che i server RocketMQ vengono utilizzati nelle comunicazioni, gli aggressori potrebbero teoricamente decidere di attingere ai dati sensibili delle conversazioni gestite dai dispositivi violati, che potrebbe avere un potenziale di monetizzazione interessante per i cybercriminali.
Per fermare gli ultimi attacchi DreamBus, si consiglia agli amministratori RockerMQ di eseguire l’aggiornamento alla versione 5.1.1 o successiva.