Peneliti Peringatkan Penyerang Cryptojacking Linux yang Beroperasi dari Rumania

  • Whatsapp
malware cryptocurrency linux

Sebuah kelompok ancaman yang kemungkinan berbasis di Rumania dan aktif setidaknya sejak tahun 2020 telah berada di belakang kampanye cryptojacking aktif yang menargetkan mesin berbasis Linux dengan brute-forcer SSH yang sebelumnya tidak terdokumentasi yang ditulis dalam Golang.

Dijuluki “Diicot kasar,” alat peretas kata sandi diduga didistribusikan melalui model perangkat lunak sebagai layanan, dengan masing-masing pelaku ancaman memberikan kunci API unik mereka sendiri untuk memfasilitasi intrusi, kata peneliti Bitdefender dalam sebuah laporan yang diterbitkan minggu lalu.

Bacaan Lainnya

Tim Stack Overflow

Sementara tujuan dari kampanye ini adalah untuk menyebarkan malware penambangan Monero dengan mengkompromikan perangkat dari jarak jauh melalui serangan brute force, para peneliti menghubungkan geng itu ke setidaknya dua DDoS botnet, termasuk a Demonbot varian yang disebut chernobyl dan Perl bot IRC, dengan muatan penambangan XMRig yang dihosting di domain bernama mexalz[.]kami sejak Februari 2021.

Penyerang Cryptojacking Linux

Perusahaan teknologi keamanan siber Rumania mengatakan telah memulai penyelidikannya terhadap aktivitas siber kelompok itu pada Mei 2021, yang mengarah pada penemuan infrastruktur dan perangkat serangan musuh berikutnya.

Kelompok ini juga dikenal mengandalkan sekantong trik kebingungan yang memungkinkan mereka menyelinap di bawah radar. Untuk itu, skrip Bash dikompilasi dengan kompiler skrip shell (shc), dan rantai serangan telah ditemukan untuk memanfaatkan Discord untuk melaporkan informasi kembali ke saluran di bawah kendali mereka, sebuah teknik yang telah menjadi semakin umum di antara aktor jahat untuk komunikasi perintah-dan-kontrol dan menghindari keamanan.

Manajemen Kata Sandi Perusahaan

Menggunakan Discord sebagai platform eksfiltrasi data juga menghilangkan kebutuhan aktor ancaman untuk meng-host server perintah-dan-kontrol mereka sendiri, belum lagi memungkinkan dukungan untuk menciptakan komunitas yang berpusat pada pembelian dan penjualan kode sumber dan layanan malware.

“Peretas yang mengejar kredensial SSH yang lemah bukanlah hal yang aneh,” kata para peneliti. “Di antara masalah terbesar dalam keamanan adalah nama pengguna dan kata sandi default, atau kredensial yang lemah dapat diatasi dengan mudah oleh peretas dengan kekerasan. Bagian yang sulit tidak harus memaksa kredensial tersebut secara kasar, tetapi melakukannya dengan cara yang memungkinkan penyerang tidak terdeteksi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *