Боты DreamBus проникают на Linux, используя эксплойты и слабые пароли

Татьяна Никитина 26 Января 2021 - 13:56

Домашние пользователи

Корпорации

Linux

Парольная защита (пароли)

Ботнет

Эксплойты

Уязвимости программ

...

Боты DreamBus проникают на Linux, используя эксплойты и слабые пароли

Обнаружен растущий ботнет, способный атаковать системы Linux в корпоративных сетях и за их пределами посредством эксплуатации уязвимостей в приложениях и сервисах, а также путем взлома аккаунтов администратора. В настоящее время бот-сеть, которую исследователи нарекли DreamBus, используется для добычи Monero.

Проведенный в Zscaler анализ показал, что лежащий в основе ботнета модульный зловред является усовершенствованным вариантом вредоносной программы SystemdMiner, объявившейся в интернете в начале 2019 года. Боты DreamBus вооружены эксплойтами для таких инструментов управления и администрирования, как PostgreSQL (Postgres), Redis, Hadoop YARN, Apache Spark, HashiCorp Consul и SaltStack, а также умеют взламывать аккаунты SSH перебором дефолтных логинов и паролей.

Все используемые DreamBus уязвимости хорошо известны и в основном связаны с отсутствием аутентификации или возможностью ее обхода.

Распространяясь по внутренней сети организации, вредонос ищет уязвимые Linux-серверы, сканируя блоки IP-адресов частного пространства (определено в RFC 1918).

«DreamBus может развертывать произвольные модули и выполнять любые команды в удаленной системе, — комментирует находку для Dark Reading Бретт Стоун-Гросс (Brett Stone-Gross), директор Zscaler по исследованиям интернет-угроз. — С учетом большой популярности атакуемых приложений и агрессивной червеобразной тактики распространения число [скомпрометированных систем] можно оценить в десятки тысяч».

По словам эксперта, многие модули DreamBus пока плохо детектируются антивирусными продуктами. Злоумышленники позаботились также о защите своей C2-инфраструктуры: почти все командные серверы ботнета спрятаны в анонимной сети Tor. Боты могут обращаться к ним напрямую по HTTP, а при отсутствии такой возможности — через SOCKS5-прокси, который они ищут, запрашивая ряд доменов по протоколу DNS-over-HTTPS (DoH). Стоит отметить, что использование DoH очень редко встречается в мире зловредов: этот защитный протокол трудно правильно настроить.

В настоящее время зараженные DreamBus серверы используются только для добычи криптовалюты — этим занимается загруженный на них майнер XMRig. Не исключено, что в дальнейшем ботнет будет перепрофилирован и начнет, например, вымогать у жертв выкуп за возврат зашифрованных файлов.

Управление DreamBus предположительно осуществляется из России или другой страны Восточной Европы. По данным Zscaler, новая бот-сеть обычно просыпается в шесть или девять часов утра по московскому времени и завершает свою работу во второй половине дня — в 15:00 или 18:00 MSK.

Следующая главная новость »

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 23 Января 2026 - 19:17

Корпорации

Printum и РЕД АДМ создают единый контур управления безопасной печатью

Российская система управления печатью Printum и система централизованного управления ИТ-инфраструктурой РЕД АДМ объявили о полной технической совместимости. Интеграция позволяет выстроить единый контур управления доступом, учётными записями и печатью в корпоративных инфраструктурах — от небольших офисов до распределённых сетей с множеством филиалов.

Во многих компаниях печать и сканирование до сих пор существуют как отдельная, «параллельная» инфраструктура: с собственными настройками, администраторами и рисками утечек.

Новая интеграция меняет этот подход. Управление печатью становится частью общей доменной политики — наряду с доступом к системам, сервисам и корпоративным ресурсам.

Теперь политики печати, сканирования и копирования можно напрямую связывать с ролями и группами пользователей, а доступ назначать и отзывать централизованно — через те же механизмы, которые используются для управления доменом и объектами ИТ-инфраструктуры. Это снижает количество «слепых зон» и упрощает администрирование.

Совместная дорожная карта Printum и РЕД АДМ предполагает более глубокую интеграцию. Элементы управления печатью будут доступны непосредственно в интерфейсе РЕД АДМ, а изменения в ролях и группах автоматически будут отражаться в правах на печать, сканирование и копирование. Администратору не потребуется поддерживать отдельные инструменты или политики — всё управление будет встроено в общую доменную структуру.

Для корпоративных заказчиков это означает переход к более унифицированной модели администрирования. Все ключевые операции выполняются через единый веб-интерфейс РЕД АДМ, а печать становится полноценной частью системы контроля доступа. Интеграция также рассчитана на масштабирование: решение подходит как для небольших организаций, так и для инфраструктур федерального уровня, включая среды с несколькими доменами.

Отдельно отмечается поддержка гетерогенных инфраструктур. Printum и РЕД АДМ могут работать в средах со смешанным набором систем на базе Linux и Windows, а также выстраивать доверительные отношения с Microsoft Active Directory, что упрощает поэтапную миграцию с зарубежных решений.

В Printum называют интеграцию логичным шагом в сторону более централизованного и управляемого подхода к печати, а в РЕД СОФТ подчёркивают, что совместимость расширяет возможности РЕД АДМ как универсального инструмента управления ИТ-инфраструктурой.

Какую защиту веб-приложений использовать в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »