Bleeping Computer 網(wǎng)站披露，新版 DreamBus 僵尸網(wǎng)絡惡意軟件利用 RocketMQ 服務器中一個嚴重遠程代碼執(zhí)行漏洞感染設備，漏洞被追蹤為 CVE-2023-33246，主要影響 RocketMQ 5.1.0 及以上版本。

據(jù)悉，Juniper Threat Labs 安全研究人員發(fā)現(xiàn)利用 CVE-2023-33246 漏洞進行 DreamBus 攻擊的安全事件，并報告稱該攻擊在 2023 年 6 月中旬開始激增。

攻擊者利用未打補丁的服務器

Juniper Threat Labs 報告稱 2023 年 6 月初，第一批利用 CVE-2023-33246 漏洞的 DreamBus 攻擊主要針對 RocketMQ 默認 10911 端口以及其他七個端口。

攻擊數(shù)量時間表（Juniper Threat Labs）

研究人員發(fā)現(xiàn)網(wǎng)絡攻擊者使用 "interactsh "開源偵察工具確定互聯(lián)網(wǎng)服務器上運行的軟件版本，并推斷出潛在的可利用漏洞。此外，研究人員還觀察到威脅攻擊者從 Tor 代理服務下載一個名為 "reketed "的惡意 bash 腳本（該混淆腳本是從 Tor 網(wǎng)站獲取的 DreamBus 主模塊（ELF 文件）的下載和安裝程序，在執(zhí)行后會被刪除，以盡量減少被檢測到的機會，可以躲過了 VirusTotal 上反病毒引擎的檢測）。

從 Tor 獲取有效載荷

DreamBus 主模塊采用定制的 UPX 包裝，因此能通過所有 VirusTotal AV 掃描而不被發(fā)現(xiàn)，該模塊有幾個 base64 編碼的腳本，可執(zhí)行包括下載惡意軟件的附加模塊等不同的功能。主模塊對這些字符串進行解碼以執(zhí)行任務，例如向 C2 發(fā)送在線狀態(tài)信號、下載 XMRig 開源 Monero 礦機、執(zhí)行其他 bash 腳本或下載新的惡意軟件版本。

XMRig 配置（Juniper Threat Labs）

DreamBus 通過設置一個系統(tǒng)服務和一個 cron 作業(yè)（兩者都設置為每小時執(zhí)行一次）來確保其在受感染系統(tǒng)上保持持續(xù)活躍。

值得一提的是，該惡意軟件還包含使用 ansible、knife、salt 和 pssh 等工具的橫向傳播機制，以及一個能夠掃描外部和內(nèi)部 IP 范圍以發(fā)現(xiàn)漏洞的掃描儀模塊。

DreamBus 的傳播模塊（Juniper Threat Labs）

研究人員透露，DreamBus 惡意網(wǎng)絡活動的主要目標似乎是挖掘門羅幣，不過其模塊化特性允許網(wǎng)絡攻擊者隨時在未來更新中輕松擴展其它功能。再考慮到 RocketMQ 服務器用于通信，網(wǎng)絡攻擊者理論上可以決定竊取被入侵設備管理的敏感對話數(shù)據(jù)，這樣的話可能比在被劫持的資源上進行加密貨幣挖礦具有更大的貨幣化潛力。

據(jù)了解，早期版本的 DreamBus 惡意軟件還針對 Redis、PostgreSQL、Hadoop YARN、Apache Spark、HashiCorp Consul 和 SaltStack，因此建議管理員對所有軟件產(chǎn)品進行良好的補丁管理，以應對這一網(wǎng)絡威脅。

文章來源：https://www.bleepingcomputer.com/news/security/dreambus-malware-exploits-rocketmq-flaw-to-infect-servers/