Botnet greift Linux-Server an

Kein System ist unangreifbar. Linux-basierte Malware ist weniger verbreitet als Schadsoftware für Windows und wird daher von der Sicherheits-Community weniger genau unter die Lupe genommen. Allerdings laufen viele geschäftskritische Systeme auf Linux-Systemen, und Malware, die sich Zugang zu diesen Systemen verschafft, kann bei Unternehmen, die ihre Server nicht richtig absichern, erhebliche Störungen und irreparable Schäden verursachen.

Die neueste dieser Bedrohungen für Linux trägt den Namen DreamBus. Laut der Sicherheitsfirma Zscaler ist diese neue Bedrohung eine Variante eines älteren Botnetzes namens SystemdMiner, das erstmals Anfang 2019 gesehen wurde, aber mittlerweile stark verbessert wurde.

Derzeit zielt das Botnet auf Anwendungen auf Unternehmensebene ab, die auf Linux-Systemen laufen. Zu den Zielen gehört Anwendungen wie PostgreSQL, Redis, Hadoop YARN, Apache Spark, HashiCorp Consul, SaltStack und der SSH-Dienst.

Einige dieser Apps werden mit Brute-Force-Angriffen gegen ihre Standard-Administrator-Benutzernamen angegriffen, andere mit bösartigen Befehlen, die an exponierte API-Endpunkte gesendet werden, oder über Exploits für ältere Sicherheitslücken.

Die DreamBus-Malware arbeitet ähnlich wie ein Wurm. Die Schadsoftware verbreitet sich mit einer Vielzahl von Methoden sehr effektiv über das Internet und lateral durch ein internes Netzwerk. Zu diesen Techniken gehören zahlreiche Module, die implizites Vertrauen, schwache Kennwörter und nicht authentifizierte Schwachstellen bei der Remotecodeausführung (RCE) in beliebten Anwendungen ausnutzen, darunter Secure Shell (SSH), IT-Administrationstools, eine Reihe von Cloud-basierten Anwendungen und Datenbanken. Diese speziellen Anwendungen werden angegriffen, da sie oft auf Systemen mit leistungsstarker Hardware mit viel Speicher und leistungsstarken CPUs ausgeführt werden.

Wenn  die DreamBus-Bande auf einem Linux-Server Fuß fassen kann, wird sie eine Open-Source-App herunterladen und installieren, die die Kryptowährung Monero (XMR) schürft. Darüber hinaus wird jeder der infizierten Server auch als Bot in der DreamBus-Operation verwendet, um weitere Brute-Force-Angriffe gegen andere mögliche Ziele zu starten.

Zscaler sagte auch, dass DreamBus eine ganze Reihe von Maßnahmen ergriffen hat, um eine einfache Entdeckung zu verhindern. Eine davon war, dass alle mit der Malware infizierten Systeme mit dem Command-and-Control (C&C)-Server des Botnets über das neue DNS-over-HTTPS (DoH)-Protokoll kommunizierten. DoH-fähige Malware ist sehr selten, da sie sehr komplex einzurichten ist.

Um zu verhindern, dass der C&C-Server abgeschaltet wird, hat die DreamBus-Gang ihn außerdem im Tor-Netzwerk gehostet – über eine .onion-Adresse. Brett Stone-Gross von Zscaler glaubt, dass es sich um ein Botnet handelt, das von Russland oder Osteuropa aus entwickelt und betrieben wird.

„Updates und neue Befehle werden ausgegeben, die typischerweise gegen 9:00 Uhr Moskauer Standardzeit (MSK) beginnen und etwa um 18:00 Uhr MSK enden“, so der Forscher. Stone-Gross warnt Unternehmen davor, dieses Botnetz auf die leichte Schulter zu nehmen.

Zwar betreibt das Botnet im Moment nur einen Cryptocurrency-Miner, aber der Zscaler-Forscher glaubt, dass die Betreiber jederzeit auf gefährlichere Nutzlasten wie Ransomware oder Datendiebstahl umsteigen könnten.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

ZDNet.de Redaktion

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

14 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

16 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

20 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

20 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago