عوامل تهدید از یک آسیب پذیری کد راه دور شناخته شده در سرورهای RocketMQ برای آلوده کردن دستگاه ها با بدافزار DreamBus اکسپلویت می کنند. حملات مداوم بدافزار بات نتDreamBus، سرورهای RocketMQ را در برابر آسیب پذیری اجرای کد از راه دور بحرانی هدف قرار داده اند که با عنوان CVE-2023-33246 و امتیاز 9.8ردیابی شده اند. مهاجمان پس از استفاده از شناسایی منبع باز "interactsh" برای انجام ارزیابی های آسیب پذیری سرور، اقدام به دانلود اسکریپت مخرب bash "reketed" کردند که دانلود و نصب ماژول DreamBus را تسهیل کرده است. ماژول اصلی DreamBus که تمام اسکنهای VirusTotal AV را نیز از طریق بستهبندی سفارشی UPX بدون شناسایی انجام میدهد، دارای چندین اسکریپت کدگذاری شده با base64 است که عملکردهای مختلفی از جمله دانلود ماژولهای اضافی برای بدافزار را انجام میدهند. ماژول اصلی کارهایی مانند سیگنال دادن به وضعیت آنلاین آن بهC2، دانلود XMRig منبع بازMonero miner، اجرای اسکریپت های bash اضافی یا دانلود نسخه جدید بدافزار DreamBus را انجام می دهد. همچنین، با راهاندازی یک سرویس سیستم و یک کار cron که هر دو به صورت ساعتی اجرا میشوند، تضمین میکند که در سیستمهای آلوده فعال باقی میماند. عوامل تهدید می توانند عملیات DreamBus را برای انجام حملات متنوع تر تقویت کنند.
این بدافزار همچنین دارای مکانیسمهای انتشار جانبی با استفاده از ابزارهایی مانند ansible ،knife ،salt و pssh و یک ماژول اسکنر است که محدوده IP خارجی و داخلی را برای آسیبپذیریهای قابل کشف بررسی میکند.
این آسیب پذیری بر RocketMQ نسخه 5.1.0 و قبل تر تأثیر میگذارد و به مهاجمان اجازه میدهد اجرای کد از راه دور را انجام دهند.
برای جلوگیری از آخرین حملات DreamBus، توصیه می شود که مدیرانRockerMQ را به نسخه5.1.1 یا بالاتر ارتقا دهند. نسخههای قبلی بدافزارDreamBus، برای هدف قرار دادن Redis، PostgreSQL، Hadoop YARN، Apache Spark، HashiCorp Consul و SaltStack شناخته شدهاند، بنابراین برای مقابله با این تهدید، دنبال کردن مدیریت وصله، در تمامی محصولات نرمافزاری توصیه میشود.
منابع خبر
- 43