Hacker Memanfaatkan Kelemahan Apache Untuk Menyebarkan Payload Kriptonminer Linuxsys

Berita Rumah* Peneliti menemukan serangan baru yang mengeksploitasi kerentanan yang diketahui di Apache HTTP Server untuk menyebarkan penambang cryptocurrency Linuxsys.

• Para penyerang menggunakan situs web sah yang telah dikompromikan dan celah traversal path CVE-2021-41773 untuk menghindari deteksi dan menyebarkan Malware.
• Malware didistribusikan melalui skrip shell dan diluncurkan secara otomatis setelah reboot sistem; bukti menunjukkan bahwa ancaman ini juga menargetkan sistem Windows.
• Kampanye ini memanfaatkan berbagai kerentanan perangkat lunak yang diketahui, menunjukkan upaya jangka panjang yang terkoordinasi untuk penambangan koin ilegal.
• Sebuah kampanye terpisah menggunakan pintu belakang canggih yang disebut GhostContainer untuk menargetkan server Exchange pemerintah di Asia untuk spionase. Perusahaan keamanan siber telah mengidentifikasi kampanye malware baru di mana penyerang mengeksploitasi kelemahan keamanan di Apache HTTP Server untuk mendistribusikan alat penambangan cryptocurrency bernama Linuxsys. Serangan yang terdeteksi pada Juli 2025 ini secara khusus menargetkan bug CVE-2021-41773 di versi Apache 2.4.49, memungkinkan pengguna yang tidak berwenang untuk menjalankan kode dari jarak jauh di server yang rentan.

• Iklan - Pelaku ancaman menyebarkan malware dengan mengompromikan situs web yang sah dan menggunakannya sebagai titik pengiriman. Menurut VulnCheck, para penyerang memulai infeksi dari alamat IP Indonesia dan memanfaatkan server unduhan, "repositorylinux[.]org," untuk mengambil skrip shell berbahaya. Skrip-skrip ini bertanggung jawab untuk mengunduh penambang Linuxsys dari berbagai domain yang dapat dipercaya, membuat deteksi lebih sulit karena koneksi menggunakan sertifikat SSL yang valid.

Skrip shell mengotomatiskan proses instalasi dan menjatuhkan skrip lain, “cron.sh,” yang memastikan penambang diluncurkan setiap kali sistem di-reboot. VulnCheck mengamati bahwa beberapa situs yang terkompromi juga mengandung file malware Windows, yang menunjukkan bahwa jangkauan kampanye mungkin melampaui sistem Linux. Penyerang sebelumnya telah mengeksploitasi kerentanan kritis, seperti cacat dalam OSGeo GeoServer GeoTools (CVE-2024-36401), untuk kegiatan penambangan serupa. Komentar dalam kode sumber malware ditulis dalam bahasa Sunda, yang menunjukkan adanya hubungan dengan Indonesia.

Kerentanan perangkat lunak lain yang digunakan dalam serangan di masa lalu untuk menyebarkan penambang termasuk injeksi template di Atlassian Confluence (CVE-2023-22527), injeksi perintah di Chamilo LMS (CVE-2023-34960), dan kelemahan serupa di Metabase dan firewall Palo Alto (CVE-2024-0012 dan CVE-2024-9474). “Semua ini menunjukkan bahwa penyerang telah melakukan kampanye jangka panjang, menggunakan teknik yang konsisten seperti eksploitasi n-hari, menyusun konten di host yang telah dikompromikan, dan penambangan koin di mesin korban,” lapor VulnCheck.

Dalam insiden terpisah, Kaspersky memperingatkan tentang serangan terarah terhadap server pemerintah di Asia melalui malware kustom bernama GhostContainer. Para penyerang mungkin telah mengeksploitasi bug eksekusi kode jarak jauh (CVE-2020-0688) di Microsoft Exchange Servers. Pintu belakang ini memungkinkan akses penuh ke server yang terkompromi tanpa terhubung ke pusat perintah eksternal, menyembunyikan instruksi di dalam permintaan web normal, yang meningkatkan stealth.

Kampanye-kampanye tersebut menunjukkan penargetan yang persisten terhadap celah perangkat lunak yang diketahui publik dan taktik canggih untuk menjaga profil rendah saat melaksanakan operasi penambangan dan spionase.

Artikel Sebelumnya:

• Ancaman Tarif Trump Mengganggu Upaya BRICS untuk Mata Uang Bersama
• Axiology Lithuania Mendapatkan Lisensi DLT untuk Perdagangan Obligasi Digital
• BlackRock Menginvestasikan $916M di Bitcoin, Ethereum saat Kepemilikan Crypto Meningkat
• Bitcoin Mencapai $123K saat Laporan Tim Tugas Trump Memicu Kegembiraan Pasar
• XRP Mendekati Kapitalisasi Pasar $200B, Melonjak 35% Terhadap Bitcoin pada Juli

• Iklan -