Dilansir dari Arstechnica, sebuah Cryptomining Worm jenis baru telah ditemukan, dan saat ini tengah menargetkan perangkat Windows dan Linux dengan batch eksploitas dan kemampuan baru.
Mengenai Cryptomining Worm ini, kabarnya sudah sejak bulan Desember lalu, peneliti keamanan dan perusahaan riset Juniper sudah mulai memantau Cryptomining Worm yang disebut botnet Sysrv ini. Dan kabarnya salah satu komponen malware botnet adalah Worm yang menyebar dari satu perangkat yang rentan ke perangkat lain tanpa memerlukan sebuah tindakan (input) dari pengguna, dengan kata lain semuanya berjalan dibelakang layar.
Untuk metodenya sendiri, Cryptomining Worm ini memindai internet untuk perangkat yang rentan dan ketika ditemukan, dia akan menginfeksi perangkat tersebut menggunakan Daftar Eksploitasi yang telah meningkat dari waktu ke waktu. Yang menariknya, Cryptomining Worm ini juga termasuk Cryptominer yang menggunakan perangkat pengguna untuk melakukan minning mata uang digital Monero.
Masih dilansir dari sumber yang sama, sekitar bulan Maret lalu, developer dari Sysrv ini telah mendesain ulang malware untuk menggabungkan Work dan minner menjadi satu biner, selain itu mereka juga memberi malware ini kemampuan untuk menambahkan SSH key, sehingga membuatnya mampu bertahan dari kondisi Reboot dan memiliki kemampuan yang lebih canggih.
Eksplotasi Yang Saat Ini Diketahui, setidaknya sudah ada enam kerentanan dalam perangkat lunak dan framework yang biasanya digunakan oleh perusahaan, diantaranya Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP, dan Drupal Ajax.
Based on the binaries we have seen and the time when we have seen them, we found that the threat actor is constantly updating its exploit arsenal, Juniper researcher Paul Kimayong bertaka dalam halaman blognya.
Dan berdasarkan postingan hari kamis kemarin, ada sejumlah eksploitasi berikut yang juga diserang oleh malware Sysrv ini.
| Exploit | Software |
| CVE-2021-3129 | Laravel |
| CVE-2020-14882 | Oracle Weblogic |
| CVE-2019-3396 | Widget Connector macro in Atlassian Confluence Server |
| CVE-2019-10758 | Mongo Express |
| CVE-2019-0193 | Apache Solr |
| CVE-2017-9841 | PHPUnit |
| CVE-2017-12149 | Jboss Application Server |
| CVE-2017-11610 | Supervisor (XML-RPC) |
| Apache Hadoop Unauthenticated Command Execution via YARN ResourceManager (No CVE) | Apache Hadoop |
| Brute force Jenkins | Jenkins |
| Jupyter Notebook Command Execution (No CVE) | Jupyter Notebook Server |
| CVE-2019-7238 | Sonatype Nexus Repository Manager |
| Tomcat Manager Unauth Upload Command Execution (No CVE) | Tomcat Manager |
| WordPress Bruteforce | WordPress |
Dan enam yang telah disebutkan sebelumnya,
- RCE Ekspres Mongo (CVE-2019-10758)
- XXL-JOB Unauth RCE
- XML-RPC (CVE-2017-11610)
- CVE-2020-16846 (Saltstack RCE)
- ThinkPHP RCE
- CVE-2018-7600 (Drupal Ajax RCE)
Ancaman Untuk Windows dan Linux
Dilansir dari Arstechnica, Biner Sysrv adalah Biner Go 64 Bit yang dikemas dengan UPX executable packer yang mana tersedia untuk Windows dan Linux, Dua biner Windows yang dipilih secara acak terdeteksi oleh 33 dan 48 dari 70 layanan malware protections teratas menurut VirusTotal. Dua biner Linux yang dipilih secara acak memiliki 6 dan 9.
Mengenai ancaman yang mungkin terjadi, tentu karena bersifat sebagai Cryptominer, maka perangkat yang terinfeksi akan mendapati kondisi dimana sumber daya komputasi lebih besar dibandingkan kondisi normal, sehingga tentu akan berpengaruh pada performa perangkat, serta tegangan listrik yang masuk dan akan menguras token dan biaya listrikmu nantinya.
Lalu Kita Harus Apa?
Berhubung penyebaran yang cukup sulit untuk dideteksi, maka tentu pengguna direkomendasikan untuk terus melakukan update perangkat yang digunakan, baik OS dan Software yang digunakan sehingga menutup celah keamanan yang terbuka dan mungkin menjadi jalan masuk bagi Malware Cryptomining Worm ini.
Nah mengenai hal ini kamu bisa membacanya pada halaman Juniper berikut atau Arstechnica berikut.
Mengenai hal ini, silahkan berikan pendapatmu dikolom komentar dibawah guys.
