Peretas Menargetkan Server Pertemuan Atlassian yang Belum Ditambal untuk Menyebarkan Penambang Crypto

  • Bagikan
Atlassian Confluence Server Hacking

Beritaini.top Peretas Menargetkan Server Pertemuan Atlassian yang Belum Ditambal untuk Menyebarkan Penambang Crypto

Peretasan Server Pertemuan Atlassian

Cacat keamanan kritis yang sekarang ditambal yang memengaruhi Server Confluence Atlassian yang terungkap beberapa bulan lalu sedang dieksploitasi secara aktif untuk penambangan cryptocurrency ilegal pada instalasi yang belum ditambal.

“Jika dibiarkan tidak diperbaiki dan berhasil dieksploitasi, kerentanan ini dapat digunakan untuk beberapa dan lebih banyak serangan berbahaya, seperti pengambilalihan domain lengkap dari infrastruktur dan pencuri informasi penyebaran, trojan akses jarak jauh (RAT), dan ransomware,” peneliti ancaman Trend Micro Sunil Bharti dikatakan dalam sebuah laporan.

Masalah tersebut, dilacak sebagai CVE-2022-26134 (skor CVSS: 9,8), telah ditangani oleh perusahaan perangkat lunak Australia pada Juni 2022.

Keamanan cyber

Di salah satu rantai infeksi yang diamati oleh perusahaan keamanan siber, kelemahan tersebut dimanfaatkan untuk mengunduh dan menjalankan skrip shell (“ro.sh”) pada mesin korban, yang, pada gilirannya, mengambil skrip shell kedua (“ap.sh “).

Kode berbahaya dirancang untuk memperbarui variabel PATH untuk menyertakan jalur tambahan seperti “/ tmp”, unduh utilitas cURL (jika belum ada) dari server jauh, nonaktifkan firewall iptables, menyalahgunakan kelemahan PwnKit (CVE-2021-4034) untuk mendapatkan hak akses root, dan akhirnya menyebarkan penambang kripto hezb.

1663830094 325 Peretas Menargetkan Server Pertemuan Atlassian yang Belum Ditambal untuk Menyebarkan

Seperti serangan cryptojacking lainnya, skrip shell juga menghentikan penambang koin pesaing lainnya, menonaktifkan agen penyedia layanan cloud dari Alibaba dan Tencent, sebelum melakukan gerakan lateral melalui SSH.

Temuan ini mencerminkan upaya eksploitasi serupa yang sebelumnya diungkapkan oleh rendaMicrosoft, Sophos, dan Akamai pada bulan Juni.

Keamanan cyber

Analisis Lacework lebih lanjut menunjukkan bahwa server command-and-control (C2) yang digunakan untuk mengambil perangkat lunak cURL serta penambang hezb juga mendistribusikan biner ELF berbasis Golang bernama “kik” yang memungkinkan malware mematikan proses yang diinginkan.

Pengguna disarankan untuk memprioritaskan penambalan cacat karena dapat disalahgunakan oleh pelaku ancaman untuk tujuan jahat lainnya.

“Penyerang dapat mengambil keuntungan dari menyuntikkan kode mereka sendiri untuk interpretasi dan mendapatkan akses ke domain Confluence yang menjadi sasaran, serta melakukan serangan mulai dari mengendalikan server untuk aktivitas jahat berikutnya hingga merusak infrastruktur itu sendiri,” kata Bharti.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.