В мае 2023 года была публично раскрыта уязвимость, затрагивающая серверы RocketMQ (CVE-2023-33246) и позволяющая удаленно выполнить код. В недавней записи в блоге Juniper Threat Labs подробно описано, как работает эксплойт, направленный на эту уязвимость.
Эта уязвимость открыла хакерам возможность использовать платформу RocketMQ, что привело к целой серии атак. Так, Juniper Threat Labs обнаружила несколько атак, в ходе которых злоумышленники использовали уязвимость для проникновения в системы и последующей установки вредоносного бота DreamBus, штамм которого последний раз был замечен в 2021 году.
DreamBus Botnet
В начале июня Juniper Threat Labs начали наблюдать атаки, направленные на уязвимость RocketMQ. Пик атак пришелся на середину июня. Хотя стандартным портом для RocketMQ является порт 10911, следует отметить, что атаки были направлены как минимум на семь других портов.
Интересно, что первоначальные атаки носили неразрушающий характер. Вместо того чтобы наносить ущерб, злоумышленники использовали инструмент разведки с открытым исходным кодом под названием "interactsh" для оценки уязвимостей серверов. Подобный сбор информации демонстрирует способность злоумышленников осуществлять зондирование, не опираясь на собственную инфраструктуру. Этот метод позволяет хакерам собирать ценные разведывательные данные.
Начиная с 19 июня, Juniper Threat Labs обнаружили серию атак, связанных с загрузкой и выполнением вредоносного bash-скрипта под названием "reketed". При этом в тот же день Juniper Threat Labs наблюдали, как злоумышленники использовали два различных метода получения и выполнения этого вредоносного сценария. В одном случае злоумышленники использовали сервис передачи веб-трафика TOR onion router через прокси-сервис TOR под названием "tor2web.in". В другом случае злоумышленники вызывали получение и исполнение вредоносной "рекетированной" полезной нагрузки с определенного IP-адреса 92[.]204.243.155 по порту 8080.
Indicators of Compromise
IPv4
- 92.204.243.155
Onion Domains
- ru6r4inkaf4thlgflg4iqs5mhqwqubols5qagspvya4whp3dgbvmyhad.onion
SHA256
- 0a8779a427aba59a66338d85e28f007c6109c23d6b0a6bd4b251bf0f543a029f
- 153b0d0916bd3150c5d4ab3e14688140b34fdd34caac725533adef8f4ab621e2
- 1c49d7da416474135cd35a9166f2de0f8775f21a27cd47d28be48a2ce580d58d
- 1d0c3e35324273ffeb434f929f834b59dcc6cdd24e9204abd32cc0abefd9f047
- 21a9f094eb65256e0ea2adb5b43a85f5abfbfdf45f855daab3eb6749c6e69417
- 371319cd17a1ab2d3fb2c79685c3814dc24d67ced3e2f7663806e8960ff9334c
- 601a2ff4a7244ed41dda1c1fc71b10d3cfefa34e2ef8ba71598f41f73c031443
- 9f740c9042a7c3c03181d315d47986674c50c2fca956915318d7ca9d2a086b7f
- e71caf456b73dade7c65662ab5cf55e02963ee3f2bfb47e5cffc1b36c0844b4d