Malware Z0Miner menyebar melalui server Elasticsearch dan Jenkins yang belum ditambal

Botnet penambangan berbahaya yang ditemukan tahun lalu telah beralih ke target server Jenkins dan Elasticsearch yang belum ditambal untuk menambang mata uang kripto Monero (XMR).

Menurut peneliti keamanan di Lab Penelitian Keamanan Jaringan Qihoo 360 (360 Netlab), Tim Keamanan Tencent menemukan z0Miner tahun lalu mengeksploitasi kerentanan eksekusi perintah jarak jauh yang tidak sah WebLogic untuk propagasi. Para peneliti mengatakan berbagai kelompok malware penambangan menjadi lebih aktif di tengah lonjakan nilai mata uang kripto.

Z0Miner menyerang tahun lalu ketika Tencent Security melacak malware yang mengeksploitasi dua bug RCE pra-autentikasi WebLogic yang dilacak sebagai CVE-2020-14882 dan CVE-2020-14883. Pada saat itu, tim analis keamanan memperkirakan penambang membahayakan sekitar 5.000 server dengan mengirimkan "paket data yang dibuat dengan hati-hati" ke sistem yang rentan. Malware juga bergerak secara lateral melalui SSH.

Sebelum itu, Oracle telah mengeluarkan peringatan buletin keamanan tentang kerentanan dalam komponen WebLogic. Pada saat itu, penelitian dari perusahaan keamanan siber Rapid7 mengatakan kelemahan itu “sepele untuk dieksploitasi.”

Para peneliti mengatakan malware tersebut telah berubah untuk mencari dan menginfeksi sistem dengan mengeksploitasi kerentanan eksekusi perintah jarak jauh di Elasticsearch dan Jenkins.

Malware ini menggunakan eksploitasi yang menargetkan kerentanan Elasticsearch RCE — dilacak sebagai CVE-2015-1427 — dan RCE lama yang memengaruhi server Jenkins untuk menyusup ke server. Itu kemudian mengunduh skrip shell berbahaya untuk menghentikan penambang kompetitif. Selanjutnya, ia menyiapkan tugas cron untuk mengunduh dan menjalankan skrip berbahaya secara berkala di Pastebin. Para peneliti mengatakan skrip ini saat ini hanya memiliki satu perintah keluar, tetapi tidak menutup kemungkinan bahwa lebih banyak perintah jahat dapat ditambahkan di masa mendatang.

Kemudian mengunduh dan menjalankan perangkat lunak penambangannya dari tiga URL yang berisi file konfigurasi penambangan, penambang XMRig, dan skrip shell starter penambang. Menurut peneliti, sejauh ini telah menambang lebih dari 22 XMR senilai $4.600, tetapi penjahat dunia maya sering menggunakan banyak dompet, sehingga jumlah keseluruhannya bisa jauh lebih tinggi.

Peneliti merekomendasikan pengguna Elasticsearch dan Jenkins untuk memeriksa penginstalan mereka dan memperbaruinya untuk menambal eksploit ini sesegera mungkin. Mereka juga merekomendasikan agar organisasi memeriksa Elasticsearch dan Jenkins untuk proses abnormal dan koneksi jaringan serta memantau dan memblokir IP dan URL yang relevan.