Botnet peer-to-peer baru bernama Panchan muncul di alam liar sekitar Maret 2022, menargetkan server Linux di sektor pendidikan untuk menambang cryptocurrency.
Panchan diberdayakan dengan fungsi cacing SSH seperti serangan kamus dan penyalahgunaan kunci SSH untuk melakukan gerakan lateral yang cepat ke mesin yang tersedia di jaringan yang disusupi.
Pada saat yang sama, ia memiliki kemampuan penghindaran deteksi yang kuat, seperti menggunakan penambang yang dipetakan dengan memori dan secara dinamis mendeteksi pemantauan proses untuk segera menghentikan modul penambangan.
Menurut Akamai, aktor ancaman di balik proyek baru ini kemungkinan besar adalah orang Jepang. Panchan ditulis dalam Golang, bahasa pemrograman serbaguna yang memudahkan untuk menargetkan arsitektur sistem yang berbeda.
Itu menginfeksi host baru dengan mencari dan menggunakan kunci SSH yang ada atau nama pengguna dan kata sandi yang memaksa. Setelah sukses pada tahap ini, ia membuat folder tersembunyi untuk menyembunyikan dirinya di dalam dengan nama “xinetd.”
Terakhir, malware mengeksekusi biner dan memulai operasi HTTPS POST ke webhook Discord, yang kemungkinan digunakan untuk memantau korban.
Untuk membangun kegigihan, malware menyalin dirinya sendiri ke “/bin/systemd-worker” dan membuat layanan systemd baru untuk diluncurkan setelah reboot sambil menyamar sebagai layanan sistem yang sah.
Komunikasi antara botnet dan C2 tidak dienkripsi dan menggunakan port TCP 1919. Konfigurasi yang dikirim ke malware menyangkut konfigurasi penambang atau memperbarui daftar rekan.
Malware ini juga memiliki fitur “godmode”, panel admin yang dapat diakses menggunakan kunci pribadi yang hanya dimiliki oleh musuh.
Akamai memodifikasi program untuk menghapus ukuran keamanan ini dan menemukan bahwa panel admin menampilkan gambaran umum konfigurasi, status host, statistik rekan, dan pengaturan penambang, sementara itu juga memberikan opsi pembaruan kepada operator.
Binari penambang, xmrig dan nbhash, tidak memiliki file, diterjemahkan dari bentuk base64 dan dieksekusi selama runtime di memori, sehingga tidak pernah menyentuh disk.
Panchan menggunakan NiceHash untuk kolam penambangan dan dompetnya, jadi analis Akamai tidak dapat melacak transaksi atau memperkirakan ukuran operasi penambangan, keuntungan, dll., karena mereka tidak berada di blockchain publik.
Malware ini juga dilengkapi sistem anti-pembunuhan yang mendeteksi sinyal penghentian proses dan mengabaikannya kecuali SIGKILL yang tidak ditangani.
Akamai merekayasa balik malware untuk memetakannya dan menemukan 209 sistem yang disusupi, 40 di antaranya saat ini aktif.
Sebagian besar korban berada di sektor pendidikan, mungkin karena cocok dengan metode penyebaran Panchan dan membuat pertumbuhannya lebih cepat.
Kebersihan kata sandi yang buruk dan pembagian kunci SSH yang berlebihan untuk mengakomodasi kolaborasi penelitian akademis internasional menciptakan kondisi ideal bagi botnet untuk berkembang biak.
Hipotesis ini selanjutnya didukung oleh temuan kelompok universitas yang terinfeksi di Spanyol, Taiwan, dan Hong Kong.
Dampaknya berkaitan dengan pembajakan sumber daya, yang di lembaga pendidikan dapat menghambat pekerjaan penelitian atau mengganggu penyediaan berbagai layanan publik.
Untuk mencegah jenis serangan ini, Akamai menyarankan agar target potensial menggunakan kata sandi yang rumit, menambahkan MFA di semua akun, membatasi akses SSH, dan terus memantau aktivitas sumber daya VM.
Sumber: Bleeping Computer
