DreamBus Botnet maakt gebruik van executiefout in RocketMQ-servers

In mei 2023 werd een kwetsbaarheid in Apache RocketMQ-servers openbaar gemaakt, waardoor code op afstand kon worden uitgevoerd via een gateway. RocketMQ is een cloud-native platform voor messaging en streaming.

De kwetsbaarheid voor commando-uitvoering is gemeld in RocketMQ voor versie 5.1.0 en lager.

Een niet-geauthenticeerde gebruiker op afstand kan deze kwetsbaarheid misbruiken door de update-configuratiefunctie te gebruiken om commando’s uit te voeren met hetzelfde toegangsniveau als dat van het RocketMQ-gebruikersproces. Het is toegewezen aan CVE-2023-33246.

Juniper Threat Labs belichtte deze aanvallen en ontdekte een patroon waarbij bedreigingsactoren gebruikmaakten van de kwetsbaarheid om systemen te infiltreren.

Opmerkelijk genoeg culmineerden deze infiltraties in de installatie van de beruchte DreamBus bot, een malware die opnieuw opdook nadat hij sinds 2021 inactief was.

De tijdlijn van de aanval in kaart gebracht

Vanaf begin juni lanceerden cybercriminelen aanvallen op de RocketMQ-kwetsbaarheid, waarbij de intensiteit van de aanval midden juni een hoogtepunt bereikte.

Door gebruik te maken van ‘interactsh’ verzamelde Juniper Threat Labs onschatbare verkenningsgegevens terwijl ze hun activiteiten geheim hielden.

Op 19 juni dook een serie aanvallen op, met het downloaden en uitvoeren van een kwaadaardig bash-script met de naam “reketed”.

Op dezelfde dag toonden bedreigingsactoren twee methoden om dit shellscript op te halen en uit te voeren.

In het ene scenario faciliteerde een TOR proxy service genaamd “tor2web.in” het anoniem downloaden.

In het andere deden de aanvallers een beroep op een specifiek IP-adres

Het uitgebreide arsenaal van DreamBus

De gedownloade payload, het “reketed” bash script, werd uitgevoerd met een specifieke hash (1d0c3e35324273ffeb434f929f834b59dcc6cdd24e9204abd32cc0abefd9f047).

Vreemd genoeg bevatte dit bestand geen VirusTotal (VT) detecties op het moment van analyse.

Het “reketed” script orkestreerde de download van de DreamBus hoofdmodule van een verborgen TOR-service.

(DreamBus botnet is malware die een cryptocurrency miner levert aan geïnfecteerde computers).

De hoofdmodule van DreamBus, een ELF binary, dook op na een succesvolle download.

Het zorgde voor uitdagingen met zijn aangepaste UPX headers, waardoor het traditionele UPX uitpakproces werd verijdeld.

Na ontcijfering bleek de module talrijke base64 gecodeerde strings uit te voeren, die elk overeenkwamen met verschillende functionaliteiten.

Het decoderen van de base64 strings onthulde een bash script vergelijkbaar met “reketed,” begiftigd met verschillende mogelijkheden.

Deze scripts orkestreerden verschillende functies, van het downloaden van modules tot het delven van Monero cryptocurrency.

Ze navigeerden door het complexe TOR-netwerk en vervalsten paden als “/ping,” “/mine,” en “/cmd1.”

Het web van volharding en Monero Mining

Om ervoor te zorgen dat de DreamBus-malware voortdurend aanwezig is, gebruikte hij een meervoudige aanpak.

Timerservices, cronjobs en geautomatiseerde IT-tools voedden de hardnekkigheid, waardoor cybercriminelen voet aan de grond konden houden.

Daarnaast introduceerde de malware Monero cryptocurrency mining, XMRig, via TOR, waardoor hun snode doelen werden bestendigd.

De symbiotische relatie tussen de RocketMQ kwetsbaarheid en de DreamBus bot onderstreept de inherente gevaren van ongepatchte systemen.

Blijf op de hoogte van het laatste Cyber Security Nieuws door ons te volgen op Google News, Linkedin, Twitteren Facebook.