Waspada! Botnet DreamBus Incar Pengguna Linux untuk Menambang Cryptocurrency

Malware-botnet-incar-pengguna-linux

Local-Hunter.com - Peneliti keamanan Zscaler’s ThreatLabZ mengkonfirmasi temuan baru yaitu sebuah malware berbasis Linux yang dinamakan sebagai Botnet DreamBus. Malware tersebut adalah varian baru dari SystemdMiner dengan serangkaian arsitektur yang digunakan dari Executable and Linkable Format (ELF) dan script shell Unix.

Botnet DreamBus

Banyak modul DreamBus tidak terdeteksi dengan baik oleh produk antivirus. Ini sebagian karena malware berbasis Linux kurang umum dibandingkan malware berbasis Windows, dan karenanya kurang mendapat pengawasan dari komunitas keamanan. Namun, kebanyakan orang menjalankan server pada sistem Linux, dan malware yang dapat mengakses sistem ini dapat menyebabkan gangguan yang signifikan dan kerusakan yang tidak dapat diperbaiki.

"Meskipun muatan malware DreamBus utama adalah penambang cryptocurrency Monero open source yang dikenal sebagai XMRig, pelaku ancaman berpotensi berputar di masa depan untuk melakukan aktivitas yang lebih merusak, seperti ransomware atau mencuri data organisasi dan menyandera organisasi." kata peneliti keamanan Zscaler's.

"Malware DreamBus menunjukkan perilaku seperti worm yang sangat efektif dalam menyebar karena pendekatannya yang multifaset untuk menyebarkan dirinya sendiri di internet dan secara lateral melalui jaringan internal menggunakan berbagai metode. Teknik ini mencakup banyak modul yang exploitasi seperti weak password, dan remote code execution (RCE) yang tidak diautentikasi dalam aplikasi populer, termasuk Secure Shell (SSH), alat administrasi TI, berbagai aplikasi berbasis cloud, dan database." tambah peneliti Zscaler's. 


Kemampuan botnet DreamBus seperti pada umumnya, yakni memanfaatkan sumber daya perangkat keras, jumlah memori dan khususnya CPU untuk memaksimalkan penambangan cryptocurrency di komputer korban.

Botnet ini juga memiliki exploitasi khusus yang menargetkan produk Apache Spark, SaltStack, Hadoop YARN, PostgreSQL, Redis dan HashiCorp Consul.

Komponen utama DreamBus adalah binary Executable and Linkable Format (ELF) yang dapat diunduh melalui HTTP. Infrastruktur perintah-dan-kontrol botnet di-host di jaringan TOR dan layanan berbagi file anonim yang memanfaatkan protokol HTTP. Telemetri yang tersedia menunjukkan operator botnet berbasis di Rusia atau negara Eropa Timur, kata Zscaler's.

Menurut Zscaler's, kode script yang digunakan botnet DreamBus dilindungi oleh binary UPX yang dimodifikasi di bagian header dan footer. Tujuannya adalah untuk menghindari pendeteksian antivirus populer dan selanjutnya botnet akan bekerja untuk menambang cryptocurrency menggunakan XMRig.

Cara Kerja Botnet DreamBus

Ada banyak modul yang dimiliki DreamBus di antaranya adalah dukungan serangan brute-force SSH, modul database PostgreSQL, modul Redis, modul Hadoop Yarn dan lain sebagainya. Semua modul ini dikumpulkan menjadi satu guna mengeksploitasi secara otomatis berdasarkan kerentanan yang ditemukan.

Teknik pertama dalam melakukan serangan brute-force SSH adalah menggunakan tools pnscan. Pnscan akan melakukan scanning pada jaringan lokal untuk mencari lokasi dari server SSH. Tools ini juga dikemas menggunakan UPX ELF dengan perintah yang cukup simple, sebagai berikut:

Usage: sshpass address port username dict_file [threads=100]

Perintah diatas akan mencari lokasi autentikasi SSH secara otomatis, selain itu peretas juga menggabungkan daftar password paling rentan dengan nama pengguna default seperti root, ubuntu, jenkins, hadoop, kafka dan postgres. Serangan selanjutnya dengan menggunakan modul PostgreSQL dengan cara melakukan scanning pada private network RFC 1918 yang menjalankan port 5432. Modul ini juga dilengkapi dengan adanya nama pengguna default termasuk root, admin, postgres, dbadmin, clouder-scm dan redmine.

Botnet FreakOut

Sementara itu, Check Point juga menemukan botnet yang dijuluki sebagai "FreakOut," menargetkan sistem yang menjalankan versi rentan dari sistem operasi TerraMaster untuk server penyimpanan yang terhubung ke jaringan, aplikasi web dan layanan yang menggunakan Zend Framework, dan Liferay Portal CMS.

Malware ini dirancang untuk mengeksploitasi kerentanan yang baru diungkapkan di masing-masing dari tiga teknologi: inject OS commands di TerraMaster TOS (CVE-2020-28188), bug Java unmarshalling remote code execution via JSONWS di Portal Liferay (CVE-2020-7961), dan unsecured deserialization of an object (RCE) Zend Framework (CVE-2021-3007).

Menurut CheckPoint, botnet FreakOut dijalankan untuk melakukan penambangan cryptocurrency dan menerapkan serangan DDoS ke situs web besar. Saat ini serangan botnet sedang berlangsung di sebagian negara AS, Jerman dan Belanda. Adapun laporan yang dibuat oleh CheckPoint, mendeteksi lebih dari 9.000 server rentan terhadap serangan ini.