Botnet Linux Berbasis Tor Menyalahgunakan Alat IaC untuk Menyebar

  • Whatsapp
view counter


Botnet malware yang baru-baru ini diamati yang menargetkan sistem Linux menggunakan banyak teknik yang muncul di antara penjahat dunia maya, seperti penggunaan proxy Tor, alat DevOps yang sah, dan penghapusan malware pesaing, menurut penelitian baru dari vendor anti-malware Trend Micro .

Bacaan Lainnya

Para peneliti mengatakan malware tersebut mampu mengunduh semua file yang dibutuhkannya dari jaringan anonimitas Tor, termasuk skrip pasca-infeksi dan binari penting yang sah yang mungkin hilang dari lingkungan, seperti ss, ps, dan curl.

Dengan bantuan alat ini, malware dapat membuat permintaan HTTP, mengumpulkan informasi tentang sistem yang terinfeksi, dan bahkan menjalankan proses.

Untuk melakukan serangan, pelaku ancaman di belakang botnet memelihara jaringan proksi yang besar untuk memelihara koneksi antara web permukaan dan jaringan Tor.

[RELATED: Emotet Botnet Disrupted in Law Enforcement Operation ]

Selain mengonversi permintaan, proxy ini mengirimkan berbagai informasi tentang sistem korban, termasuk alamat IP, arsitektur, nama pengguna, dan bagian dari Uniform Resource Identifier (URI) untuk menetapkan biner yang bergantung pada arsitektur mana yang akan diunduh.

Server proxy yang disalahgunakan memiliki layanan terbuka yang rentan, yang menyarankan eksploitasi tanpa sepengetahuan pemilik server. Selama penyelidikan mereka, para peneliti Trend Micro ditemukan bahwa layanan proxy selalu dinonaktifkan setelah beberapa saat.

Malware Linux dapat berjalan di banyak arsitektur sistem, dengan skrip awal yang dirancang untuk melakukan beberapa pemeriksaan pada target sebelum mengunduh file tambahan dan melanjutkan proses infeksi.

Karenanya, Trend Micro percaya bahwa pelaku ancaman di balik botnet mungkin sedang menyiapkan kampanye yang lebih luas yang menargetkan sistem Linux.

Sampel malware yang diamati dapat menghapus layanan dan agen terkait cloud tertentu serta menyalahgunakan alat infrastruktur-sebagai-kode (IaC) seperti Ansible, Chef, dan SaltStack, untuk menyebar ke sistem lain.

Saat ini, botnet menyebarkan penambang XMRig Monero (XMR) ke mesin yang terinfeksi. Penambang kripto menggunakan kumpulan penambangannya sendiri dan malware mencari sistem untuk penambang lain yang sedang berjalan dan mencoba untuk menghapusnya.

“Sampel malware ini tidak membutuhkan software lain; sistem operasi Linux adalah satu-satunya persyaratan agar malware dapat berjalan dan menyebar. Ia mengunduh alat penting (ss, ps, curl) karena tidak setiap lingkungan yang ditargetkan untuk infeksi memilikinya dan kemungkinan besar pengguna tidak memiliki izin yang diperlukan untuk menginstalnya di sistem (seperti dalam kasus penampung), ” Trend Micro ditambahkan.

Terkait: Botnet Android Masif Menghantam Ekosistem Iklan Smart TV

Terkait: Malware ‘FreakOut’ Baru Menjaring Perangkat Linux Ke Botnet

Ionut Arghire adalah koresponden internasional untuk SecurityWeek.

Kolom Sebelumnya oleh Ionut Arghire:
Tag:



Source

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *