Tim Riset Keamanan Sysdig telah mengidentifikasi serangan Cryptominer yang menyerang pod Kubernetes yang menjalankan WordPress, terkait dengan Botnet Sysrv-Hello baru-baru ini.
Tujuan serangan itu adalah untuk mengontrol pod, menambang cryptocurrency, dan mereplikasi dirinya dari sistem yang disusupi.
Secara khusus, penyerang menargetkan WordPress yang salah dikonfigurasi untuk melakukan akses awal. Mereka kemudian mencoba menghentikan malware potensial lainnya, menginstal dan mengeksekusi cryptominer, dan akhirnya, mencoba mereplikasi dirinya sendiri (dalam infrastruktur honeypot Sysdig dan di internet).
Yang perlu diperhatikan tentang serangan ini adalah bahwa hash biner dari skrip serangan dan cryptominer sangat baru, dan pendaftar pada basis data malware menunjukkan bahwa sangat sedikit orang yang mendeteksinya. Jadi, sebagian besar perangkat lunak keamanan tidak akan dapat mendeteksi serangan tersebut, dan Anda harus bergantung pada pendeteksian perilakunya untuk mendapatkan peringatan.
Apa itu Botnet Sysrv-Hello?
Botnet Sysrv-hello adalah infeksi Windows dan Linux yang pertama kali diidentifikasi pada akhir Desember 2020, yang mengeksploitasi banyak kerentanan dan disebarkan melalui skrip shell.
sejak identifikasi pertama, penyerang melakukan beberapa perubahan dalam skrip shell yang menginstal implan Sysrv-hello, yang merupakan cara malware executable disebarkan pada sistem host.
Dalam perubahan terbaru mereka, botnet memiliki fitur dan eksploitasi baru untuk replikasi. Fitur baru yang paling penting adalah kemampuan untuk mengunduh penambang seperti Monero dan mulai menambang cryptocurrency.
Selengkapnya: Sysdig
