News Botnet DirtyMoe Mendapatkan Exploitasi Baru di Modul Wormable untuk Menyebar Dengan Cepat

Keith

Keith Nasution
Staff member
Jan 4, 2022
304
4
18
Kuningan
haxor.id
HaxorCash
4,266‎‎ ‎‎HxC
Malware yang dikenal sebagai DirtyMoe telah memperoleh kemampuan propagasi seperti worm baru yang memungkinkannya memperluas jangkauannya tanpa memerlukan interaksi pengguna apa pun, menurut penelitian terbaru.

"Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa
Please, Log in or Register to view URLs content!
dan
Please, Log in or Register to view URLs content!
Please, Log in or Register to view URLs content!
peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.

"Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah."

Aktif sejak 2016,
Please, Log in or Register to view URLs content!
digunakan untuk melakukan serangan cryptojacking dan distributed denial-of-service (DDoS), dan disebarkan melalui kit eksploit eksternal seperti PurpleFox atau installer Telegram Messenger yang disuntikkan.

Juga digunakan sebagai bagian dari urutan serangan adalah layanan DirtyMoe yang memicu peluncuran dua proses tambahan, yaitu Core dan Executioner, yang digunakan untuk memuat modul untuk penambangan Monero dan untuk menyebarkan malware dengan cara seperti worm.



Modul worming menyerang mesin korban dengan menggunakan beberapa kerentanan untuk menginstal malware, dengan setiap modul menargetkan kelemahan tertentu berdasarkan informasi yang dikumpulkan setelah pengintaian –

  • CVE-2019-9082: ThinkPHP – Beberapa RCE Injeksi PHP
  • CVE-2019-2725: Oracle Weblogic Server – Deserialisasi RCE 'AsyncResponseService'
  • CVE-2019-1458: Peningkatan Hak Istimewa Lokal WizardOpium
  • CVE-2018-0147: Kerentanan Deserialisasi
  • CVE-2017-0144: Eksekusi Kode Jarak Jauh SMB EternalBlue (MS17-010)
  • MS15-076: RCE Izinkan Peningkatan Hak Istimewa (Eskalasi Hak Istimewa Windows Kentang Panas)
  • Serangan kamus yang ditujukan untuk layanan MS SQL Server, SMB, dan Windows Management Instrumentation (WMI) dengan kata sandi yang lemah.
"Tujuan utama modul worming adalah untuk mencapai RCE di bawah hak administrator dan menginstal instance DirtyMoe baru," jelas Chlumecký, menambahkan salah satu fungsi inti komponen adalah untuk menghasilkan daftar alamat IP yang akan diserang berdasarkan lokasi geologis modul.

Selain itu, modul worming lain yang sedang dikembangkan ditemukan mengandung eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.

"IP target worming dihasilkan menggunakan algoritma yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan dalam kaitannya dengan lokasi geologis modul worming," kata Chlumecký. "Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko."
 

About us

  • HaxorID used to be a community website for technology lovers, especially in the field of cyber security to learn, or develop their skills together for educational purposes. This is a place where we learn, a place where we can share information among members for research and share knowledge in the field of cyber security.

Quick Navigation

User Menu