DreamBus 恶意软件利用 RocketMQ 漏洞感染服务器
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
DreamBus僵尸网络恶意软件利用RocketMQ服务器中的远程代码执行漏洞感染设备。攻击者利用未打补丁的服务器进行攻击,下载恶意脚本。DreamBus主模块通过定制的UPX包装来躲避反病毒引擎的检测,并具有多个功能,如下载恶意软件和挖掘门罗币。该恶意软件还包含横向传播机制和扫描仪模块。建议管理员对所有软件进行补丁管理以应对这一威胁。
🎯
关键要点
- DreamBus僵尸网络恶意软件利用RocketMQ服务器中的远程代码执行漏洞(CVE-2023-33246)感染设备。
- 攻击者利用未打补丁的服务器进行攻击,主要针对RocketMQ默认的10911端口及其他七个端口。
- 研究人员发现攻击者使用开源侦察工具确定服务器软件版本,并推断出可利用的漏洞。
- 攻击者从Tor代理服务下载名为'reketed'的恶意bash脚本,该脚本用于下载和安装DreamBus主模块。
- DreamBus主模块采用定制的UPX包装,能够躲避反病毒引擎的检测,并具有多个功能。
- 该恶意软件通过设置系统服务和cron作业保持持续活跃,并包含横向传播机制和扫描仪模块。
- DreamBus的主要目标是挖掘门罗币,但其模块化特性允许未来扩展其他功能。
- 网络攻击者可能窃取被入侵设备管理的敏感对话数据,具有更大的货币化潜力。
- 建议管理员对所有软件进行良好的补丁管理,以应对这一网络威胁。
➡️
