Penjahat Dunia Maya Membajak Server SSH yang Rentan dalam Kampanye Proxyjacking Baru
30 Juni 2023Ravie LakshmananKeamanan Server / Ancaman Cyber
Kampanye aktif bermotif finansial menargetkan server SSH yang rentan untuk secara diam-diam menjerat mereka ke dalam jaringan proxy.
“Ini adalah kampanye aktif di mana penyerang memanfaatkan SSH untuk akses jarak jauh, menjalankan skrip berbahaya yang secara diam-diam memasukkan server korban ke dalam jaringan proxy peer-to-peer (P2P), seperti Peer2Profit atau Honeygain,” kata peneliti Akamai Allen West dalam sebuah pernyataan. laporan hari Kamis.
Tidak seperti cryptojacking, di mana sumber daya sistem yang disusupi digunakan untuk menambang mata uang kripto secara ilegal, proxyjacking menawarkan kemampuan bagi pelaku ancaman untuk memanfaatkan bandwidth korban yang tidak terpakai untuk secara diam-diam menjalankan berbagai layanan sebagai node P2P.
Hal ini memberikan keuntungan ganda: tidak hanya memungkinkan penyerang untuk memonetisasi bandwidth ekstra dengan beban sumber daya yang berkurang secara signifikan yang diperlukan untuk melakukan cryptojacking, namun juga mengurangi peluang penemuan.
“Ini adalah alternatif yang lebih tersembunyi dibandingkan cryptojacking dan memiliki implikasi serius yang dapat meningkatkan dampak buruk yang sudah ditimbulkan oleh serangan Layer 7 yang diproksi,” kata West.
Lebih buruk lagi, anonimitas yang diberikan oleh layanan proxyware dapat menjadi pedang bermata dua karena dapat disalahgunakan oleh pelaku jahat untuk mengaburkan sumber serangan mereka dengan merutekan lalu lintas melalui node perantara.
Akamai, yang menemukan kampanye terbaru pada 8 Juni 2023, mengatakan aktivitas tersebut dirancang untuk menembus server SSH yang rentan dan menyebarkan skrip Bash yang dikaburkan yang, pada gilirannya, dilengkapi untuk mengambil dependensi yang diperlukan dari server web yang disusupi, termasuk perintah curl -alat baris dengan menyamarkannya sebagai file CSS (“csdark.css”).
Skrip tersembunyi ini selanjutnya secara aktif mencari dan menghentikan instance pesaing yang menjalankan program berbagi bandwidth, sebelum meluncurkan layanan Docker yang membagi bandwidth korban untuk mendapatkan keuntungan.
Pemeriksaan lebih lanjut terhadap server web tersebut mengungkapkan bahwa server tersebut juga digunakan untuk menampung penambang mata uang kripto, yang menunjukkan bahwa pelaku ancaman mencoba-coba serangan cryptojacking dan proxyjacking.
Meskipun proxyware pada dasarnya tidak jahat, Akamai mencatat bahwa “beberapa dari perusahaan ini tidak memverifikasi dengan benar sumber IP di jaringan, dan bahkan kadang-kadang menyarankan agar orang menginstal perangkat lunak tersebut di komputer kerja mereka.”
Namun operasi semacam itu juga dapat melampaui ranah kejahatan dunia maya ketika aplikasi diinstal tanpa sepengetahuan atau persetujuan pengguna, sehingga memungkinkan pelaku ancaman mengendalikan beberapa sistem dan menghasilkan pendapatan tidak sah.
“Teknik lama tetap efektif, terutama bila dipadukan dengan hasil baru,” kata West. “Praktik keamanan standar tetap menjadi mekanisme pencegahan yang efektif, termasuk kata sandi yang kuat, manajemen patch, dan pencatatan log yang cermat.”
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
