Server Linux adalah target kampanye berkelanjutan yang menghadirkan malware tersembunyi yang dijuluki sempurna dengan tujuan utama menjalankan perangkat lunak penambang mata uang kripto dan proxyjacking.
“Perfctl sangat sulit dipahami dan gigih, menggunakan beberapa teknik canggih,” kata peneliti keamanan Aqua Assaf Morag dan Idan Revivo dalam laporan yang dibagikan kepada The Hacker News.
“Saat pengguna baru masuk ke server, ia segera menghentikan semua aktivitas 'berisik', tidak aktif hingga server kembali menganggur. Setelah dieksekusi, ia menghapus binernya dan terus berjalan dengan tenang di latar belakang sebagai layanan.”
Perlu dicatat bahwa beberapa aspek dari kampanye ini diungkapkan bulan lalu oleh Cado Security, yang merinci kampanye yang menargetkan instance Selenium Grid yang terekspos internet dengan perangkat lunak penambangan cryptocurrency dan proxyjacking.
Secara khusus, malware perfctl ditemukan mengeksploitasi kelemahan keamanan di Polkit (CVE-2021-4043, alias PwnKit) untuk meningkatkan hak istimewa untuk melakukan root dan menjatuhkan penambang bernama perfcc.
Alasan di balik nama “perfctl” tampaknya merupakan upaya yang disengaja untuk menghindari deteksi dan memadukan proses sistem yang sah, karena “perf” mengacu pada alat pemantauan kinerja Linux dan “ctl” berarti kontrol di berbagai alat baris perintah, seperti sebagai systemctl, timedatectl, dan kelincimqctl.
Rantai serangan tersebut, seperti yang diamati oleh perusahaan keamanan cloud terhadap server honeypotnya, melibatkan pelanggaran server Linux dengan mengeksploitasi instance Apache RocketMQ yang rentan untuk mengirimkan muatan bernama “httpd.”
Setelah dieksekusi, ia menyalin dirinya sendiri ke lokasi baru di direktori “/tmp”, menjalankan biner baru, menghentikan proses asli, dan menghapus biner awal dalam upaya menutupi jejaknya.
Selain menyalin dirinya ke lokasi lain dan memberikan nama yang tampaknya tidak berbahaya, malware ini dirancang untuk menjatuhkan rootkit untuk menghindari pertahanan dan muatan penambang. Beberapa contoh juga memerlukan pengambilan dan eksekusi perangkat lunak proxyjacking dari server jauh.
Untuk mengurangi risiko yang ditimbulkan oleh perfctl, disarankan untuk selalu memperbarui sistem dan semua perangkat lunak, membatasi eksekusi file, menonaktifkan layanan yang tidak digunakan, menerapkan segmentasi jaringan, dan menerapkan Kontrol Akses Berbasis Peran (RBAC) untuk membatasi akses ke file penting .
“Untuk mendeteksi malware yang sempurna, Anda mencari lonjakan penggunaan CPU yang tidak biasa, atau perlambatan sistem jika rootkit telah diterapkan di server Anda,” kata para peneliti. “Ini mungkin mengindikasikan aktivitas penambangan kripto, terutama selama waktu menganggur.”