Instansi Selenium Grid yang terekspos internet menjadi sasaran pelaku jahat untuk penambangan mata uang kripto ilegal dan kampanye proxyjacking.
“Selenium Grid adalah server yang memfasilitasi menjalankan kasus pengujian secara paralel di berbagai browser dan versi,” kata peneliti Cado Security Tara Gould dan Nate Bill dalam analisis yang diterbitkan hari ini.
“Namun, konfigurasi bawaan Selenium Grid tidak memiliki autentikasi, sehingga rentan terhadap eksploitasi oleh pelaku ancaman.”
Penyalahgunaan instans Selenium Grid yang dapat diakses publik untuk menyebarkan penambang kripto sebelumnya disorot oleh firma keamanan cloud Wiz pada akhir Juli 2024 sebagai bagian dari klaster aktivitas yang dijuluki SeleniumGreed.
Cado, yang mengamati dua kampanye berbeda terhadap server honeypotnya, mengatakan para pelaku ancaman mengeksploitasi kurangnya perlindungan autentikasi untuk melakukan tindakan jahat.
Yang pertama memanfaatkan kamus “goog:chromeOptions” untuk menyuntikkan skrip Python berkode Base64 yang kemudian mengambil skrip bernama “y,” yang merupakan shell terbalik GSocket sumber terbuka.
Shell terbalik selanjutnya berfungsi sebagai media untuk memperkenalkan muatan tahap berikutnya, skrip bash bernama “pl” yang mengambil IPRoyal Pawn dan EarnFM dari server jarak jauh melalui perintah curl dan wget.
“IPRoyal Pawns adalah layanan proksi residensial yang memungkinkan pengguna menjual bandwidth internet mereka dengan imbalan uang,” kata Cado.
“Koneksi internet pengguna dibagikan dengan jaringan IPRoyal dengan layanan yang menggunakan bandwidth sebagai proxy residensial, sehingga tersedia untuk berbagai tujuan, termasuk untuk tujuan jahat.”
EarnFM juga merupakan solusi proxyware yang diiklankan sebagai cara “terobosan” untuk “menghasilkan pendapatan pasif daring hanya dengan membagikan koneksi internet Anda.”
Serangan kedua, seperti kampanye proxyjacking, mengikuti rute yang sama untuk mengirimkan skrip bash melalui skrip Python yang memeriksa apakah skrip tersebut berjalan pada mesin 64-bit dan kemudian melanjutkan untuk menjatuhkan biner ELF berbasis Golang.
Berkas ELF selanjutnya mencoba meningkat ke root dengan memanfaatkan kelemahan PwnKit (CVE-2021-4043) dan menjatuhkan penambang mata uang kripto XMRig yang disebut perfcc.
“Karena banyak organisasi mengandalkan Selenium Grid untuk pengujian peramban web, kampanye ini semakin menyoroti bagaimana instans yang dikonfigurasi secara salah dapat disalahgunakan oleh pelaku ancaman,” kata para peneliti. “Pengguna harus memastikan autentikasi dikonfigurasi, karena tidak diaktifkan secara default.”