.png)
Sistem Internet-facing Linux dan perangkat Internet of Things (IoT) sedang ditargetkan sebagai bagian dari kampanye baru yang dirancang untuk menambang cryptocurrency secara ilegal.
"Aktor ancaman di balik serangan itu menggunakan backdoor yang menyebarkan beragam alat dan komponen seperti rootkit dan bot IRC untuk mencuri sumber daya perangkat untuk operasi penambangan," kata peneliti intelijen ancaman Microsoft Rotem Sde-Or sebagaimana ditulis The Hacker News.
"Bakcdoors juga menginstal versi OpenSSH yang ditambal pada perangkat yang terpengaruh, memungkinkan pelaku ancaman untuk membajak kredensial SSH, bergerak secara lateral di dalam jaringan, dan menyembunyikan koneksi SSH berbahaya."
Untuk menjalankan skema, tulis The Hacker News, host Linux yang salah konfigurasi dipaksa untuk mendapatkan akses awal, setelah itu pelaku ancaman bergerak untuk menonaktifkan riwayat shell dan mengambil versi OpenSSH yang di-trojan dari server jarak jauh.
“Paket OpenSSH nakal dikonfigurasi untuk menginstal dan meluncurkan backdoor, skrip shell yang memungkinkan penyerang mendistribusikan muatan tambahan dan melakukan aktivitas pasca-eksploitasi lainnya.”
Ini termasuk mengekstraksi informasi tentang perangkat, menginstal rootkit sumber terbuka yang disebut Diamorphine dan Reptil dari GitHub, dan mengambil langkah untuk mengaburkan aktivitasnya dengan menghapus log yang dapat memperingatkan keberadaannya.
"Untuk memastikan akses SSH yang persisten ke perangkat, backdoor menambahkan dua kunci publik ke file konfigurasi authorized_keys dari semua pengguna di sistem," kata pembuat Windows tersebut.
Implan juga berusaha untuk memonopoli sumber daya sistem yang terinfeksi dengan menghilangkan proses penambangan crypto yang bersaing yang mungkin sudah berjalan di atasnya sebelum meluncurkan penambangnya.
Selain itu, ia menjalankan versi ZiggyStarTux yang dimodifikasi, klien denial-of-service (DDoS) terdistribusi berbasis IRC yang mampu mengeksekusi perintah bash yang dikeluarkan dari server command-and-control (C2). Ini didasarkan pada malware botnet lain yang disebut Kaiten (alias Tsunami).
Serangan itu, kata raksasa teknologi itu, memanfaatkan subdomain lembaga keuangan Asia Tenggara yang tidak disebutkan namanya untuk komunikasi C2 dalam upaya untuk menyamarkan lalu lintas berbahaya.
Patut ditunjukkan bahwa modus operandi yang dirinci oleh Microsoft tumpang tindih dengan laporan terbaru dari Pusat Tanggap Darurat Keamanan AhnLab (ASEC), yang merinci serangan yang menargetkan server Linux yang terbuka dengan malware penambangan kripto dan varian botnet Tsunami yang dijuluki Ziggy.
Operasi tersebut telah ditelusuri kembali ke aktor bernama asterzeu, yang telah menawarkan toolkit tersebut untuk dijual di pasar malware-as-a-service. Kompleksitas dan ruang lingkup serangan ini menunjukkan upaya yang dilakukan penyerang untuk menghindari deteksi, kata Sde-Or.
Perkembangan tersebut terjadi karena beberapa kelemahan keamanan yang diketahui di router, perekam video digital, dan perangkat lunak jaringan lainnya sedang dieksploitasi secara aktif oleh pelaku ancaman untuk menyebarkan malware botnet Mirai, menurut Akamai dan Palo Alto Networks Unit 42.
"Botnet Mirai, ditemukan pada tahun 2016, masih aktif sampai sekarang," kata peneliti Uni 42. "Bagian signifikan dari alasan popularitasnya di antara pelaku ancaman terletak pada kelemahan keamanan perangkat IoT."
"Kerentanan eksekusi kode jarak jauh yang menargetkan perangkat IoT menunjukkan kombinasi kompleksitas rendah dan dampak tinggi, menjadikannya target yang tak tertahankan bagi pelaku ancaman."[]
.png&description=Baru! Penambangan Ilegal Cryptocurrency Targetkan Sistem Linux dan Perangkat IoT){kind=link}
0 Komentar