VMware Menjadi Target Baru Malware FreakOut

  • Whatsapp
VMware Menjadi Target Baru Malware FreakOut

 

Kampanye malware alias “Freakout” baru yang berbahaya baru saja menargetkan workstation Linux yang belum ditambal yang menangani Penyimpanan Terpasang Jaringan (NAS) dan menjalankan beberapa kerangka kerja aplikasi Web yang terdaftar di PHP dan Java.
FreakOut Botnet muncul kembali untuk pertama kalinya pada November 2020 dengan serangkaian serangan baru pada Januari 2021. Malware ini menargetkan unit penyimpanan data TerraMaster dan aplikasi web yang dibangun di atas kerangka Zend PHP bersama dengan situs web yang menjalankan konten portal Liferay sistem manajemen.
Malware multi-platform berbasis Python yang sebelumnya menargetkan sistem Windows dan Linux telah diperbarui untuk membuatnya ke server VMware vCenter yang terpapar internet yang tidak ditambal terhadap kerentanan dalam eksekusi kode jarak jauh.
Kerentanan pada plug-in VMware vCenter (CVE-2021-21972) untuk vRealize Operations (vROps) ini sangat penting karena mempengaruhi instalasi standar Server vCenter. Seperti yang diungkapkan oleh Shodan dan BinaryEdge, ribuan server vCenter yang belum ditambal saat ini dapat diakses melalui Internet.
FreakOut menyebar ke botnet IRC yang dikelola oleh master, mengeksploitasi berbagai kerentanan OS dan aplikasi yang tersebar luas dan meminta kata sandi melalui SSH. Fitur malware utama memungkinkan operator meluncurkan serangan DDoS, perangkat yang terpengaruh pintu belakang, lalu lintas jaringan mengendus dan mencuri data, dan menyebarkan penambang XMRig untuk menambang Monero.
“Meskipun bot awalnya ditemukan awal tahun ini, aktivitas terbaru menunjukkan banyak perubahan pada bot, mulai dari komunikasi perintah dan kontrol (C2) yang berbeda dan penambahan eksploitasi baru untuk penyebaran, kerentanan paling menonjol di VMWare vSphere, SCO OpenServer, Panel Kontrol Vesta dan eksploitasi berbasis SMB yang tidak ada dalam iterasi kode sebelumnya,” kata peneliti keamanan Cisco Talos, Vanja Svajcer.
Sementara para programmer FreakOut berusaha sejak awal Mei untuk melangkah maju dalam kemampuan penyebaran malware, ketika aktivitas botnet tiba-tiba meroket, untuk meningkatkan penyebaran virus.
Bot FreakOut memindai sistem baru, baik dengan menghasilkan rentang jaringan secara sewenang-wenang atau dengan menggunakan instruksi dari masternya yang dikomunikasikan ke IRC melalui server kontrol. Bot mencoba menggunakan salah satu kerentanan terintegrasi atau masuk ke daftar kata sandi SSH yang dikodekan untuk setiap alamat IP dalam daftar pemindaian.
Kerentanan VMware dalam serangan ransomware di jaringan bisnis juga dieksploitasi di masa lalu. Seperti diungkapkan oleh Cisco Talos, operator FreakOut juga menunjukkan bahwa mereka terus-menerus bereksperimen dengan berbagai muatan berbahaya menggunakan ransomware yang dipesan lebih dahulu.
“Necro Python bot menunjukkan aktor yang mengikuti perkembangan terbaru dalam eksploit eksekusi perintah jarak jauh di berbagai aplikasi web dan menyertakan eksploit baru ke dalam bot. Ini meningkatkan peluangnya untuk menyebarkan dan menginfeksi sistem,” tambah Svajcer.
“Pengguna perlu memastikan untuk secara teratur menerapkan pembaruan keamanan terbaru ke semua aplikasi, bukan hanya sistem operasi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *