Berita Rumah* Peneliti menemukan serangan baru yang mengeksploitasi kerentanan yang diketahui di Apache HTTP Server untuk menyebarkan penambang cryptocurrency Linuxsys.
Skrip shell mengotomatiskan proses instalasi dan menjatuhkan skrip lain, “cron.sh,” yang memastikan penambang diluncurkan setiap kali sistem di-reboot. VulnCheck mengamati bahwa beberapa situs yang terkompromi juga mengandung file malware Windows, yang menunjukkan bahwa jangkauan kampanye mungkin melampaui sistem Linux. Penyerang sebelumnya telah mengeksploitasi kerentanan kritis, seperti cacat dalam OSGeo GeoServer GeoTools (CVE-2024-36401), untuk kegiatan penambangan serupa. Komentar dalam kode sumber malware ditulis dalam bahasa Sunda, yang menunjukkan adanya hubungan dengan Indonesia.
Kerentanan perangkat lunak lain yang digunakan dalam serangan di masa lalu untuk menyebarkan penambang termasuk injeksi template di Atlassian Confluence (CVE-2023-22527), injeksi perintah di Chamilo LMS (CVE-2023-34960), dan kelemahan serupa di Metabase dan firewall Palo Alto (CVE-2024-0012 dan CVE-2024-9474). “Semua ini menunjukkan bahwa penyerang telah melakukan kampanye jangka panjang, menggunakan teknik yang konsisten seperti eksploitasi n-hari, menyusun konten di host yang telah dikompromikan, dan penambangan koin di mesin korban,” lapor VulnCheck.
Dalam insiden terpisah, Kaspersky memperingatkan tentang serangan terarah terhadap server pemerintah di Asia melalui malware kustom bernama GhostContainer. Para penyerang mungkin telah mengeksploitasi bug eksekusi kode jarak jauh (CVE-2020-0688) di Microsoft Exchange Servers. Pintu belakang ini memungkinkan akses penuh ke server yang terkompromi tanpa terhubung ke pusat perintah eksternal, menyembunyikan instruksi di dalam permintaan web normal, yang meningkatkan stealth.
Kampanye-kampanye tersebut menunjukkan penargetan yang persisten terhadap celah perangkat lunak yang diketahui publik dan taktik canggih untuk menjaga profil rendah saat melaksanakan operasi penambangan dan spionase.