Menu Tutup

Worm baru mengubah server Windows, Linux menjadi penambang Monero

Malware berbasis Golang yang baru ditemukan dan menyebar sendiri telah secara aktif menjatuhkan penambang cryptocurrency XMRig di server Windows dan Linux sejak awal Desember.

Malware multi-platform ini juga memiliki kemampuan worm yang memungkinkannya menyebar ke sistem lain dengan memaksa layanan publik (mis., MySQL, Tomcat, Jenkins, dan WebLogic) dengan sandi yang lemah.

Para penyerang di balik kampanye ini telah secara aktif memperbarui kemampuan worm melalui server command-and-control (C2) sejak pertama kali terlihat yang mengisyaratkan malware yang dipelihara secara aktif.

Server C2 digunakan untuk meng-host skrip bash atau PowerShell dropper (bergantung pada platform yang ditargetkan), worm biner berbasis Golang, dan penambang XMRig dikerahkan untuk secara diam-diam menambang cryptocurrency Monero yang tidak dapat dilacak pada perangkat yang terinfeksi.

“Biner worm ELF dan skrip bash dropper sama-sama tidak terdeteksi di VirusTotal pada saat publikasi ini,” kata Mechtinger.

Memaksa dan mengeksploitasi server yang terbuka

Worm menyebar ke komputer lain dengan memindai dan memaksa layanan MySql, Tomcat, dan Jenkins menggunakan penyemprotan kata sandi dan daftar kredensial hardcode.

Versi lama worm juga terlihat mencoba mengeksploitasi kerentanan eksekusi kode jarak jauh Oracle WebLogic CVE-2020-14882.

Setelah berhasil mengkompromikan salah satu server yang ditargetkan, itu akan menyebarkan skrip loader (ld.sh untuk Linux dan ld.ps1 untuk Windows) yang menjatuhkan penambang XMRig dan worm biner berbasis Golang.

Malware secara otomatis akan mati sendiri jika mendeteksi bahwa sistem yang terinfeksi mendengarkan pada port 52013. Jika port tersebut tidak digunakan, worm akan membuka soket jaringannya sendiri.

Worm baru mengubah server Windows, Linux menjadi penambang Monero

“Fakta bahwa kode worm hampir identik untuk malware PE dan ELF — dan malware ELF tidak terdeteksi di VirusTotal — menunjukkan bahwa ancaman Linux masih berada di bawah radar untuk sebagian besar platform keamanan dan deteksi,” tambah Mechtinger.

Untuk bertahan dari serangan brute force yang diluncurkan oleh worm multi-platform baru ini, Anda harus membatasi login dan menggunakan sandi yang sulit ditebak pada semua layanan yang terpapar Internet, serta otentikasi dua faktor jika memungkinkan.

Menjaga perangkat lunak Anda tetap mutakhir setiap saat dan memastikan bahwa server Anda tidak dapat dijangkau melalui Internet kecuali benar-benar diperlukan adalah cara lain untuk mempertahankan diri dari ancaman perangkat lunak jahat baru ini.

Tinggalkan Balasan