Peningkatan Malware Necro Python Dengan Eksploitasi Baru dan Kemampuan Penambangan Crypto

  • Whatsapp
Bot Necro Python

Pembaruan baru telah dilakukan pada “bot polimorfik, mereplikasi diri sendiri” berbasis Python yang disebut Necro dalam apa yang dilihat sebagai upaya untuk meningkatkan peluangnya menginfeksi sistem yang rentan dan menghindari deteksi.

“Meskipun bot awalnya ditemukan awal tahun ini, aktivitas terbaru menunjukkan banyak perubahan pada bot, mulai dari komunikasi command-and-control (C2) yang berbeda dan penambahan eksploitasi baru untuk penyebaran, terutama kerentanan di VMWare vSphere, SCO OpenServer, Vesta Control Panel, dan eksploitasi berbasis SMB yang tidak ada dalam iterasi kode sebelumnya,” peneliti dari Cisco Talos berkata dalam penyelaman mendalam yang diterbitkan hari ini.

Bacaan Lainnya

auditor kata sandi

Dikatakan dalam pengembangan sejauh tahun 2015, Necro (alias N3Cr0m0rPh) menargetkan perangkat Linux dan Windows, dengan peningkatan aktivitas yang diamati pada awal tahun sebagai bagian dari kampanye malware yang dijuluki “FreakOut” yang ditemukan mengeksploitasi kerentanan di perangkat penyimpanan terpasang jaringan (NAS) yang berjalan di mesin Linux untuk mengkooptasi mesin ke dalam botnet untuk meluncurkan serangan penolakan layanan (DDoS) terdistribusi dan menambang cryptocurrency Monero.

Selain fungsionalitas seperti DDoS dan RAT untuk mengunduh dan meluncurkan muatan tambahan, Necro dirancang dengan mempertimbangkan secara diam-diam dengan memasang rootkit yang menyembunyikan keberadaannya di sistem. Terlebih lagi, bot juga menyuntikkan kode berbahaya untuk mengambil dan mengeksekusi penambang berbasis JavaScript dari server jauh ke dalam file HTML dan PHP pada sistem yang terinfeksi.

Bot Necro Python

Sementara versi malware sebelumnya mengeksploitasi kelemahan di Liferay Portal, Laminas Project, dan TerraMaster, varian terbaru yang diamati pada 11 dan 18 Mei menampilkan eksploitasi injeksi perintah yang menargetkan Vesta Control Panel, ZeroShell 3.9.0, SCO OpenServer 5.0.7, serta kesalahan eksekusi kode jarak jauh yang berdampak pada VMWare vCenter (CVE-2021-21972) yang ditambal oleh perusahaan pada bulan Februari.

Sebuah versi botnet, dirilis pada 18 Mei, juga mencakup eksploitasi untuk EternalBlue (CVE-2017-0144) dan Romantis Abadi (CVE-2017-0145), keduanya menyalahgunakan kerentanan eksekusi kode jarak jauh di protokol Windows SMB. Penambahan baru ini berfungsi untuk menyoroti bahwa pembuat malware secara aktif mengembangkan metode penyebaran baru dengan memanfaatkan kerentanan yang diungkapkan secara publik.

Yang juga perlu diperhatikan adalah penggabungan a mesin polimorfik untuk mengubah kode sumbernya dengan setiap iterasi sambil menjaga algoritme asli tetap utuh dalam upaya “yang belum sempurna” untuk membatasi kemungkinan terdeteksi.

“Bot Necro Python menunjukkan aktor yang mengikuti perkembangan terbaru dalam eksploit eksekusi perintah jarak jauh di berbagai aplikasi web dan memasukkan eksploit baru ke dalam bot,” kata peneliti Talos. “Ini meningkatkan kemungkinan penyebaran dan menginfeksi sistem. Pengguna perlu memastikan untuk secara teratur menerapkan pembaruan keamanan terbaru ke semua aplikasi, bukan hanya sistem operasi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *