Une nouvelle version du malware botnet DreamBus exploite une vulnérabilité d’exécution de code à distance de gravité critique dans les serveurs RocketMQ pour infecter les appareils.
La faille exploitée, identifiée comme CVE-2023-33246, est un problème de vérification des autorisations qui affecte RocketMQ version 5.1.0 et versions antérieures, permettant aux attaquants d’exécuter des commandes à distance sous certaines conditions.
Les récentes attaques DreamBus exploitant cette faille ont été repérées par des chercheurs de Juniper Threat Labs, qui ont signalé un pic d’activité à la mi-juin 2023.
Exploiter des serveurs non patchés
Juniper Threat Labs rapporte avoir vu les premières attaques DreamBus exploitant CVE-2023-33246 début juin 2023, ciblant le port 10911 par défaut de RocketMQ et sept autres ports.
Les attaquants ont utilisé l’outil de reconnaissance open source « interactsh » pour déterminer quelle version du logiciel s’exécute sur les serveurs exposés à Internet et en déduire des vulnérabilités potentiellement exploitables.
Les chercheurs ont également observé que l’acteur malveillant téléchargeait un script bash malveillant nommé « reketed » à partir d’un service proxy Tor, qui a échappé à la détection des moteurs antivirus sur VirusTotal.
Ce script obscurci est un téléchargeur et un installateur pour le module principal DreamBus (fichier ELF), qui est récupéré sur un site Tor. Le fichier est supprimé après l’exécution pour minimiser les chances d’être détecté.
Le module principal DreamBus, qui passe également toutes les analyses VirusTotal AV sans être détecté grâce au packaging UPX personnalisé, comprend plusieurs scripts codés en base64 qui exécutent différentes fonctions, notamment le téléchargement de modules supplémentaires pour le malware.
Le module principal décode ces chaînes pour effectuer des tâches telles que signaler son statut en ligne au C2, télécharger le mineur open source Monero XMRig, exécuter des scripts bash supplémentaires ou télécharger une nouvelle version de malware.
DreamBus garantit qu’il reste actif sur les systèmes infectés en configurant un service système et une tâche cron, tous deux configurés pour s’exécuter toutes les heures.
Le malware contient également des mécanismes de propagation latérale utilisant des outils tels que ansible, knife, salt et pssh, ainsi qu’un module d’analyse qui balaie les plages d’adresses IP externes et internes à la recherche de vulnérabilités détectables.
L’objectif principal de la campagne DreamBus en cours semble être l’exploitation minière de Monero, bien que sa nature modulaire puisse permettre aux attaquants d’étendre facilement ses capacités dans une future mise à jour.
Étant donné que les serveurs RocketMQ sont utilisés dans les communications, les attaquants pourraient théoriquement décider d’exploiter les données de conversation sensibles gérées par les appareils piratés, ce qui pourrait avoir un potentiel de monétisation plus important que le crypto mining sur des ressources détournées.
Pour arrêter les dernières attaques DreamBus, il est recommandé aux administrateurs RockerMQ de passer à la version 5.1.1 ou ultérieure.
Les versions antérieures du malware DreamBus sont également connues pour cibler Redis, PostgreSQL, Hadoop YARN, Apache Spark, HashiCorp Consul et SaltStack, il est donc recommandé de suivre une bonne gestion des correctifs dans tous les produits logiciels pour lutter contre cette menace.