Penjahat Cyber ​​Secara Aktif Menargetkan VMware vSphere dengan Cryptominers

Organizations yang menjalankan jaringan virtual canggih dengan layanan vSphere VMware secara aktif menjadi sasaran cryptojackers, yang telah menemukan cara untuk menyuntikkan cryptominer komersial XMRig ke lingkungan, tidak terdeteksi. Siddharth Sharma dari

Uptycs telah merilis penelitian yang menunjukkan aktor ancaman menggunakan skrip shell berbahaya untuk membuat modifikasi dan jalankan cryptominer di jaringan virtual vSphere.

“Kampanye Cryptojacking sebagian besar menargetkan sistem yang memiliki sumber daya kelas atas,” Sharma menunjukkan. “Dalam kampanye ini saat kami melihat penyerang mencoba mendaftarkan penambang XMRig itu sendiri sebagai layanan (daemon), yang berjalan setiap kali sistem di-boot ulang.”

Untuk menghindari deteksi, skrip juga mengunduh rootkit mode pengguna dari perintah-dan -control server (C2), laporan tersebut menambahkan.

“Skrip shell juga berisi perintah yang mengunduh penambang, file konfigurasi, dan rootkit mode pengguna dari server web penyerang,” laporan tersebut menjelaskan. “Para penyerang menggunakan utilitas wget untuk mengambil komponen berbahaya dan utilitas chmod untuk membuat komponen dapat dieksekusi.”

Laporan tersebut mengatakan bahwa rootkit akan disimpan sebagai “libload.so” dan skrip memodifikasi vSphere untuk menjalankan XMRig cryptominer.
Sumber: Uptycs.

Setelah cryptominer dijatuhkan, skrip memuat ulang layanan untuk memulai penambang, Sharma menjelaskan. Laporan tersebut juga melaporkan bahwa dompet penyerang telah dibayar 8,942 XMR, kata laporan itu, atau sekitar $1.790 pada waktu pers. Layanan

VMware Sedang Diserang Layanan

VMware telah dikepung oleh masalah keamanan baru-baru ini.

Tahun baru dimulai dengan bug tingkat tinggi ditemukan di platform Cloud Foundation, ESXi, Fusion, dan Workstation VMWare, yang membuka pintu untuk pengambilalihan hypervisor dari seluruh lingkungan virtual organisasi.

Dan beberapa hari yang lalu server Horizon VMWare dengan kerentanan Log4Shell diamati di bawah serangan Cobalt Strike aktif oleh para peneliti di Huntress setelah Layanan Kesehatan Nasional Inggris menjadi sasaran pada 5 Januari.

Sharma menyarankan tim keamanan yang menjalankan layanan VMware untuk mencari aktivitas jaringan yang tidak biasa untuk mendeteksi cryptominer, serta serangan lainnya.

“Di masa lalu kami telah melihat kelompok yang sangat canggih menargetkan rentan layanan VMware,” kata Sharma. “Oleh karena itu, menjadi sangat penting untuk memantau proses, peristiwa, dan lalu lintas jaringan yang mencurigakan yang muncul pada eksekusi skrip shell yang tidak tepercaya.”

Password Reset: On-Demand Event: Fortify 2022 dengan strategi keamanan sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:

  • Cloud Securityliu
      iMalware