Versi baru malware penambangan kripto Linux yang sebelumnya digunakan untuk menargetkan wadah Docker pada tahun 2020 sekarang berfokus pada penyedia layanan cloud baru seperti Huawei Cloud.
Analisis kampanye baru berasal dari para peneliti di TrendMicro, yang menjelaskan bagaimana malware telah berevolusi dengan fitur-fitur baru sambil mempertahankan fungsi sebelumnya.
Lebih khusus, sampel yang lebih baru telah mengomentari fungsi pembuatan aturan firewall (tetapi masih ada) dan terus menjatuhkan pemindai jaringan untuk memetakan host lain dengan port yang relevan dengan API.
Namun, versi malware baru hanya menargetkan lingkungan cloud dan sekarang mencari dan menghapus skrip cryptojacking lain yang mungkin telah menginfeksi sistem sebelumnya.
Saat menginfeksi sistem Linux, coinminer jahat akan melakukan langkah-langkah berikut, yang mencakup penghapusan pengguna yang dibuat oleh distributor malware penambangan kripto yang bersaing.
Setelah menghapus pengguna yang dibuat oleh pelaku ancaman lain, pelaku menambahkan pengguna mereka sendiri, langkah umum bagi banyak cryptojackers penargetan cloud. Namun, tidak seperti banyak cryptominer lainnya, malware menambahkan akun pengguna mereka ke daftar sudoers, memberi mereka akses root ke perangkat.
Untuk memastikan bahwa persistensi dipertahankan pada perangkat, penyerang menggunakan kunci ssh-RSA mereka sendiri untuk melakukan modifikasi sistem dan mengubah izin file ke status terkunci.
Ini berarti bahwa bahkan jika aktor lain memperoleh akses ke perangkat di masa mendatang, mereka tidak akan dapat mengambil kendali penuh atas mesin yang rentan.
Para aktor menginstal layanan proxy Tor untuk melindungi komunikasi dari deteksi dan pengawasan pemindaian jaringan, melewati semua koneksi melaluinya untuk anonimisasi.
Binari yang dijatuhkan (“linux64_shell”, ”ff.sh”, “fczyo”, “xlinux”) menampilkan beberapa tingkat kebingungan, dan TrendMicro telah melihat tanda-tanda pengepakan UPX telah digunakan untuk pembungkusan.
Para aktor telah melalui gangguan lebih lanjut untuk menyetel binari untuk siluman terhadap analisis otomatis dan perangkat deteksi.
Setelah mendapatkan pijakan di perangkat, skrip peretas akan mengeksploitasi sistem jarak jauh dan menginfeksinya dengan skrip berbahaya dan cryptominer.
Kerentanan yang diketahui yang dipindai selama serangan ini meliputi:
Kata sandi lemah SSH
Kerentanan dalam produk Oracle WebLogic Server dari Oracle Fusion Middleware (CVE-2020-14882)
Redis akses tidak sah atau kata sandi yang lemah
Akses tidak sah PostgreSQL atau kata sandi yang lemah
Kata sandi lemah SQLServer
Akses tidak sah MongoDB atau kata sandi yang lemah
Protokol transfer file (FTP) kata sandi lemah
CSP dibombardir
Huawei Cloud adalah layanan yang relatif baru, tetapi raksasa teknologi China itu mengklaim telah melayani lebih dari tiga juta pelanggan. TrendMicro telah memberi tahu Huawei tentang kampanye tersebut, tetapi mereka belum menerima pengakuan.
Baik Anda menerapkan instans, perlu diingat bahwa menjalankan penilaian kerentanan dan pemindaian malware mungkin tidak cukup untuk bertahan dari serangan ini. Anda perlu mengevaluasi model keamanan CSP Anda dan menyesuaikan pendekatan Anda untuk melengkapinya dengan perlindungan lebih lanjut.
Penambang kripto penargetan cloud ini telah meningkat sejak awal tahun, dan selama nilai kripto melonjak, para aktor akan memiliki insentif untuk membuatnya lebih kuat dan lebih sulit dideteksi.
sumber: bleepingcomputer