Alertas de seguridad

Notificación de nuevas amenazas detectadas a nivel global, bien sea por entidades independientes, fabricantes, gremios, o investigación propia CSIRT.

Botnet DreamBus apunta a aplicaciones ejecutadas en servidores Linux

  • Publicado: 25/01/2021
  • Importancia: Media

Recursos afectados

Estos ataques pueden propagarse mediante:

  • Fuerza bruta contra nombres de usuario de administrador.
  • Comandos maliciosos remitidos a puntos finales de API expuestos.
  • Exploits para vulnerabilidades conocidas antiguas.

Una vez alojada la amenaza en el servidor Linux comprometido, procede a instalar y ejecutar aplicaciones de minado de criptomoneda como Monero (XMR) y así incrementar las ganancias de los ciberdelincuentes. También para sumar el servidor comprometido a la botnet, lanza ataques de fuerza bruta a las aplicaciones para simultáneamente escalar su alcance de afectación hacia otros objetivos potenciales.

Esta amenaza puede afectar su organización al realizar:

  • Comunicación con C2 a través de protocolos como DNS-over-HTTPS (DoH) para ocultar su tráfico DNS.
  • Posible liberación de ransomware y malware adicional en sistemas comprometidos.
  • Ejecución de código arbitrario.
  • Movimiento lateral sobre su red.
  • Filtración de información confidencial.
  • Establecimiento de persistencia a través de tareas programadas que ejecuta cada cierto tiempo, comandos relacionados con la amenaza.
  • Exfiltración de información como nombre de usuario, del equipo, la arquitectura y la dirección IP externa, monitoreo de las direcciones IP de la red del sistema y enumeración de los procesos ejecutados.
  • Intercambio de archivos maliciosos y comunicación con C2 a través de TOR.
  • Sumar el servidor afectado a una red de zombis encargados de infectar la red local y la inherente a esta.
Etiquetas