Peneliti keamanan telah menemukan jenis malware baru yang digunakan secara online. Dinamakan RubyMiner, malware ini adalah penambang cryptocurrency yang terlihat menargetkan web server yang jadul.
Menurut penelitian yang dipublikasikan oleh Check Point dan Certego, dan informasi yang diterima oleh Error 404 Cyber News, serangan malware RubyMiner dimulai pada 9-10 Januari pekan lalu.
Penyerang Menargetkan Server Linux dan Windows
Peneliti keamanan Ixia, Stefan Tanase mengatakan bahwa kelompok RubyMiner menggunakan alat fingerprint server web yang dinamai p0f untuk memindai dan mengidentifikasi server Linux dan Windows yang menjalankan perangkat lunak jadul.
Begitu mereka mengidentifikasi server, penyerang menyebarkan eksploitasi well-known untuk mendapatkan pijakan di server yang rentan dan menginfeksi mereka dengan RubyMiner.
Check Point dan Ixia mengatakan bahwa mereka telah melihat penyerang menyebarkan eksploitasi berikut dalam gelombang serangan baru-baru ini:
- Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) [1]
- PHP php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878) [1, 2, 3, 4]
- Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [1]
Penyerang Menyembunyikan Kode Berbahaya di File robots.txt
Dalam sebuah laporan yang diterbitkan minggu lalu, Check Point telah mengetahui rutinitas rutin RubyMiner di sistem Linux, berdasarkan data yang dikumpulkan dari server honeypot mereka. Ada beberapa hal yang menonjol saat ini, setidaknya karena kreativitas para penyerang:
- Kode exploit berisi serangkaian perintah shell
- Penyerang membersihkan semua cronjob
- Penyerang menambahkan cronjob per jam baru
- Cronjob baru mendownload naskah yang di-host secara online
- Script ini di-host di dalam file robots.txt dari berbagai domain
- Script mendownload dan menginstal versi modifikasi dari aplikasi penambang Monero XMRig yang sah.
RubyMiner Dikabarkan Sudah Menginfeksi 700 Server
Check Point menempatkan jumlah server yang terinfeksi RubyMiner sekitar 700 dan memperkirakan pendapatan penyerang $540, berdasarkan alamat wallet yang ditemukan di penambang XMRig kustom yang digunakan oleh malware RubyMiner.
Banyak yang berpendapat bahwa kelompok tersebut akan lebih berhasil dan menghasilkan lebih banyak uang jika mereka menggunakan eksploitasi yang lebih baru daripada memakai eksploitasi jadul.
Informasi lebih lanjut tentang serangan RubyMiner tersedia dalam laporan dari Check Point dan Certego.