PT. Digital Media Techindo

Perum Pondok Tandala, Jl. Bungur V No. 230
Kawalu, Kota Tasikmalaya
Jawa Barat - Indonesia 46182




Peneliti keamanan telah menemukan jenis malware baru yang digunakan secara online. Dinamakan RubyMiner, malware ini adalah penambang cryptocurrency yang terlihat menargetkan web server yang jadul.

Menurut penelitian yang dipublikasikan oleh Check Point dan Certego, dan informasi yang diterima oleh Error 404 Cyber News, serangan malware RubyMiner dimulai pada 9-10 Januari pekan lalu.

Penyerang Menargetkan Server Linux dan Windows

Peneliti keamanan Ixia, Stefan Tanase mengatakan bahwa kelompok RubyMiner menggunakan alat fingerprint server web yang dinamai p0f untuk memindai dan mengidentifikasi server Linux dan Windows yang menjalankan perangkat lunak jadul.

Begitu mereka mengidentifikasi server, penyerang menyebarkan eksploitasi well-known untuk mendapatkan pijakan di server yang rentan dan menginfeksi mereka dengan RubyMiner.

Check Point dan Ixia mengatakan bahwa mereka telah melihat penyerang menyebarkan eksploitasi berikut dalam gelombang serangan baru-baru ini:

  • Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) [1]
  • PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878) [1, 2, 3, 4]
  • Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [1]

Penyerang Menyembunyikan Kode Berbahaya di File robots.txt

Dalam sebuah laporan yang diterbitkan minggu lalu, Check Point telah mengetahui rutinitas rutin RubyMiner di sistem Linux, berdasarkan data yang dikumpulkan dari server honeypot mereka. Ada beberapa hal yang menonjol saat ini, setidaknya karena kreativitas para penyerang:


  • Kode exploit berisi serangkaian perintah shell
  • Penyerang membersihkan semua cronjob
  • Penyerang menambahkan cronjob per jam baru
  • Cronjob baru mendownload naskah yang di-host secara online
  • Script ini di-host di dalam file robots.txt dari berbagai domain
  • Script mendownload dan menginstal versi modifikasi dari aplikasi penambang Monero XMRig yang sah.
Peneliti keamanan Check Point Lotem Finkelstein mengatakan bahwa mereka telah melihat penyerang menargetkan server Windows IIS, namun mereka belum bisa mendapatkan salinan versi Windows dari malware ini.
Serangan ini juga berdiri terpisah karena salah satu penyerangan domain biasa menyembunyikan perintah berbahaya di file robots.txt (lochjol[.]com) yang juga pernah digunakan dalam serangan malware sebelumnya, pada tahun 2013 [1, 2].
Serangan malware itu juga memanfaatkan eksploitasi Ruby on Rails yang sama, yang digunakan dalam serangan RubyMiner, menunjukkan bahwa kelompok yang sama yang berada di balik serangan tersebut kemungkinan besar sekarang mencoba menyebarkan RubyMiner.
Secara keseluruhan, telah terjadi peningkatan upaya penyebaran malware cryptocurrency mining dalam beberapa bulan terakhir, terutama malware yang menambang untuk Monero.
Tidak termasuk kejadian cryptojacking – yang juga menambang Monero – beberapa keluarga malware dan botnet Monero yang telah kami lihat pada tahun 2017 termasuk Digmine, botnet yang tidak disebutkan namanya yang menargetkan situs WordPress, Hexmen, Loapi, Zealot, WaterMiner, botnet yang tidak disebutkan namanya yang menargetkan server IIS 6.0, CodeFork, dan Bondnet.
Dua minggu di tahun 2018 dan kami telah melihat PyCryptoMiner yang menargetkan server Linux dan grup lain yang menargetkan server Oracle WebLogic.
Serangan RubyMiner sangat aneh karena penyerang menggunakan eksploitasi yang sangat jadul, perangkat lunak keamanan yang paling dapat mendeteksi, dan yang akan memberi tahu pemilik server.
“Penyerang mungkin telah mencari mesin yang ditinggalkan dengan sengaja, seperti “PC dan server yang terlupakan dengan versi OS lama,” sysadmin tersebut mungkin lupa bahwa mereka online. “Menginfeksi mereka akan memastikan periode yang panjang dari penambangan yang berhasil di bawah radar keamanan,” kata Finkelstein.

RubyMiner Dikabarkan Sudah Menginfeksi 700 Server

Check Point menempatkan jumlah server yang terinfeksi RubyMiner sekitar 700 dan memperkirakan pendapatan penyerang $540, berdasarkan alamat wallet yang ditemukan di penambang XMRig kustom yang digunakan oleh malware RubyMiner.

Banyak yang berpendapat bahwa kelompok tersebut akan lebih berhasil dan menghasilkan lebih banyak uang jika mereka menggunakan eksploitasi yang lebih baru daripada memakai eksploitasi jadul.

Informasi lebih lanjut tentang serangan RubyMiner tersedia dalam laporan dari Check Point dan Certego.

Tags:, , ,

author

Botnet Mirai Okiru Baru Ini Menargetkan Perangkat Yang Menjalankan Processor ARC

Lebih Dari 500.000 Pengguna Terinfeksi Empat Ekstensi Chrome Berbahaya

Postingan Terkait

Linux Sudo

Jika Kamu Menggunakan Linux, Kamu Harus Segera Mengupdate Sudo

By  
Rincian Kerentanan Windows

Peneliti Ungkap Rincian Kerentanan Baru Windows Yang Dapat Dieksploitasi Dari Jarak Jauh

By  
Botnet FreakOut

Operasi Botnet FreakOut Yang Sedang Berlangsung Targetkan Sistem Linux

By  
Zero-Day Windows

Peneliti Tidak Sengaja Temukan Zero-Day Windows 7 dan Windows Server 2008

By