Peneliti keamanan telah menemukan jenis malware baru yang digunakan secara online. Dinamakan RubyMiner, malware ini adalah penambang cryptocurrency yang terlihat menargetkan web server yang jadul.

Menurut penelitian yang dipublikasikan oleh Check Point dan Certego, dan informasi yang diterima oleh Error 404 Cyber News, serangan malware RubyMiner dimulai pada 9-10 Januari pekan lalu.

Penyerang Menargetkan Server Linux dan Windows

Peneliti keamanan Ixia, Stefan Tanase mengatakan bahwa kelompok RubyMiner menggunakan alat fingerprint server web yang dinamai p0f untuk memindai dan mengidentifikasi server Linux dan Windows yang menjalankan perangkat lunak jadul.

Begitu mereka mengidentifikasi server, penyerang menyebarkan eksploitasi well-known untuk mendapatkan pijakan di server yang rentan dan menginfeksi mereka dengan RubyMiner.

Check Point dan Ixia mengatakan bahwa mereka telah melihat penyerang menyebarkan eksploitasi berikut dalam gelombang serangan baru-baru ini:

  • Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) [1]
  • PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878) [1234]
  • Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [1]

Penyerang Menyembunyikan Kode Berbahaya di File robots.txt

Dalam sebuah laporan yang diterbitkan minggu lalu, Check Point telah mengetahui rutinitas rutin RubyMiner di sistem Linux, berdasarkan data yang dikumpulkan dari server honeypot mereka. Ada beberapa hal yang menonjol saat ini, setidaknya karena kreativitas para penyerang:

  • Kode exploit berisi serangkaian perintah shell
  • Penyerang membersihkan semua cronjob
  • Penyerang menambahkan cronjob per jam baru
  • Cronjob baru mendownload naskah yang di-host secara online
  • Script ini di-host di dalam file robots.txt dari berbagai domain
  • Script mendownload dan menginstal versi modifikasi dari aplikasi penambang Monero XMRig yang sah.
Peneliti keamanan Check Point Lotem Finkelstein mengatakan bahwa mereka telah melihat penyerang menargetkan server Windows IIS, namun mereka belum bisa mendapatkan salinan versi Windows dari malware ini.
Serangan ini juga berdiri terpisah karena salah satu penyerangan domain biasa menyembunyikan perintah berbahaya di file robots.txt (lochjol[.]com) yang juga pernah digunakan dalam serangan malware sebelumnya, pada tahun 2013 [1, 2].
Serangan malware itu juga memanfaatkan eksploitasi Ruby on Rails yang sama, yang digunakan dalam serangan RubyMiner, menunjukkan bahwa kelompok yang sama yang berada di balik serangan tersebut kemungkinan besar sekarang mencoba menyebarkan RubyMiner.
Secara keseluruhan, telah terjadi peningkatan upaya penyebaran malware cryptocurrency mining dalam beberapa bulan terakhir, terutama malware yang menambang untuk Monero.
Tidak termasuk kejadian cryptojacking – yang juga menambang Monero – beberapa keluarga malware dan botnet Monero yang telah kami lihat pada tahun 2017 termasuk Digmine, botnet yang tidak disebutkan namanya yang menargetkan situs WordPress, Hexmen, Loapi, Zealot, WaterMiner, botnet yang tidak disebutkan namanya yang menargetkan server IIS 6.0, CodeFork, dan Bondnet.
Dua minggu di tahun 2018 dan kami telah melihat PyCryptoMiner yang menargetkan server Linux dan grup lain yang menargetkan server Oracle WebLogic.
Serangan RubyMiner sangat aneh karena penyerang menggunakan eksploitasi yang sangat jadul, perangkat lunak keamanan yang paling dapat mendeteksi, dan yang akan memberi tahu pemilik server.
“Penyerang mungkin telah mencari mesin yang ditinggalkan dengan sengaja, seperti “PC dan server yang terlupakan dengan versi OS lama,” sysadmin tersebut mungkin lupa bahwa mereka online. “Menginfeksi mereka akan memastikan periode yang panjang dari penambangan yang berhasil di bawah radar keamanan,” kata Finkelstein.

RubyMiner Dikabarkan Sudah Menginfeksi 700 Server

Check Point menempatkan jumlah server yang terinfeksi RubyMiner sekitar 700 dan memperkirakan pendapatan penyerang $540, berdasarkan alamat wallet yang ditemukan di penambang XMRig kustom yang digunakan oleh malware RubyMiner.

Banyak yang berpendapat bahwa kelompok tersebut akan lebih berhasil dan menghasilkan lebih banyak uang jika mereka menggunakan eksploitasi yang lebih baru daripada memakai eksploitasi jadul.

Informasi lebih lanjut tentang serangan RubyMiner tersedia dalam laporan dari Check Point dan Certego.


Like it? Share with your friends!

Comments

error: Content is protected !!