Malware Linux Baru Memanfaatkan 20+ Cacat CMS di Situs WP
Diterbitkan: 2023-02-06Malware Linux baru telah muncul yang memanfaatkan kerentanan keamanan dalam tema WordPress dan plugin situs web yang berjalan di platform Linux. Menjalankan Javascript untuk menargetkan kode sumber situs web, malware dapat membantu penjahat dunia maya meluncurkan serangan DDoS, mengakses data sensitif, dan mengarahkan pengguna ke situs web berbahaya.
Artikel ini akan memberikan gambaran menyeluruh tentang malware Linux baru ini, membahas cara kerjanya, kelemahan CMS yang dapat dimanfaatkan, dan apa yang dapat dilakukan untuk mencegah serangan semacam itu.
Apa Itu Serangan Malware Linux?
Banyak lingkungan cloud saat ini didasarkan pada sistem operasi Linux. Karena itu, serangan siber yang ditujukan langsung ke host web yang menggunakan Linux sedang meningkat. Dengan berhasil menyusup ke lingkungan Linux, penjahat dunia maya dapat mengakses berbagai data sensitif, menjalankan malware, dan berpotensi menyebabkan kerusakan jangka panjang pada infrastruktur TI.
Sejak tahun 2020, virus trojan dan ransomware telah menjadi bentuk paling umum dari serangan malware berbasis Linux.
Kerentanan, seperti kelemahan CMS WordPress terbaru, telah membahayakan jaringan. Kerentanan lain termasuk kurangnya autentikasi pada jaringan atau kesalahan konfigurasi server. Sayangnya, serangan semacam itu cukup berhasil dalam beberapa tahun terakhir dan menjadi lebih canggih dan beragam, menyebabkan sakit kepala bagi tim keamanan siber.
Jenis Serangan Malware Linux
Ada banyak cara berbeda yang dapat dilakukan oleh aktor ancaman untuk melakukan serangan malware. Di bawah ini adalah beberapa jenis yang paling umum.
Malware yang menargetkan citra VM
Malware terus meningkat, menemukan kerentanan baru yang ditargetkan dengan serangan yang dipikirkan dengan matang oleh penjahat dunia maya yang terampil. Salah satu serangan tersebut melibatkan penargetan gambar Mesin Virtual (VM) yang digunakan untuk menangani beban kerja.
Dengan melakukan itu, pelaku ancaman dapat memperoleh akses ke sumber daya berharga yang dihosting di cloud, yang memungkinkan mereka menyebabkan kekacauan.
Cryptojacking
Cryptojacking bisa sangat menguntungkan bagi penjahat dunia maya, menggunakan sumber daya TI korban untuk menghasilkan mata uang kripto. Bahkan perusahaan global seperti Tesla telah menjadi korban serangan semacam itu.
Malware Cryptojacking mengeksploitasi sistem yang tidak memiliki keamanan canggih, memungkinkan peretas untuk membajak sistem dan menambang crypto dengan mengorbankan korban.
Serangan Linux tanpa file
Dengan menggunakan alat Ezuri yang ditulis oleh Golang, peretas dapat mengenkripsi malware, mendekripsinya di jaringan yang dilanggar, dan tidak meninggalkan jejak di disk sistem. Hal ini memungkinkan malware untuk mem-bypass perangkat lunak antivirus.
Kelompok kriminal dunia maya TeamTNT biasanya menggunakan teknik ini. Untuk organisasi besar, ini dapat menimbulkan konsekuensi ekstrem, melanggar peraturan kepatuhan. Perlindungan terhadap serangan semacam itu dapat sangat membantu dalam memastikan kepatuhan PCI dan mematuhi pedoman peraturan lainnya.
Malware yang disponsori negara
Kelompok negara-bangsa meningkatkan serangan mereka terhadap lingkungan Linux, dan hal ini terlihat jelas dalam perang Rusia-Ukraina. Tujuan utama dari serangan malware ini adalah untuk mengganggu komunikasi dan menghancurkan data.
Bagaimana Situs Web WP Ditargetkan oleh Malware Linux Baru
Strain malware Linux baru yang sebelumnya tidak diketahui oleh pakar keamanan siber telah menargetkan situs web WordPress, atau lebih tepatnya, lebih dari dua puluh plugin dan tema.
Vendor keamanan Rusia, Doctor Web, telah menganalisis ancaman baru ini, menyoroti potensi kerentanannya. Perwakilan dari Doctor Web menyatakan dalam laporan baru-baru ini, “Jika situs menggunakan versi lama dari add-on semacam itu, tanpa perbaikan penting, halaman web yang ditargetkan disuntikkan dengan JavaScript berbahaya. Akibatnya, ketika pengguna mengklik area mana pun dari halaman yang diserang, mereka dialihkan ke situs lain.”
Serangan menargetkan situs web tertentu dengan plugin dan tema yang rentan untuk menyebarkan malware. Ini membantu membuat jaringan situs web (botnet) yang dapat diakses oleh penjahat dunia maya dari jarak jauh, memungkinkan mereka untuk melakukan berbagai aktivitas. JavaScript juga dapat disuntikkan ke dalam sistem yang diambil oleh server jarak jauh, mengarahkan ulang pengguna yang mengakses situs web yang dilanggar dan mengirimkannya ke situs web berbahaya.
Versi backdoor lain dari serangan itu melibatkan domain command-and-control (C2) yang sebelumnya tidak diketahui, selain menargetkan 20+ kelemahan CMS WordPress.
Dalam kedua kasus tersebut, penyerang menggunakan metode brute-force untuk menyusup ke akun admin WordPress. Doctor Web menambahkan, “Jika opsi seperti itu diterapkan di versi pintu belakang yang lebih baru, penjahat dunia maya bahkan akan berhasil menyerang beberapa situs web yang menggunakan versi plugin saat ini dengan kerentanan yang ditambal.”
20+ Kelemahan CMS Yang Telah Dieksploitasi
Daftar tema dan plugin rentan yang telah dieksploitasi oleh malware Linux meliputi:
- Perancang Blog (< 1.8.12)
- Brisy
- Segera Hadir & Mode Pemeliharaan (<= 5.1.0)
- Delucks SEO
- SMTP WP Mudah (1.3.9)
- Pemutar Video FV Flowplayer
- Hibrida
- Obrolan Langsung dengan Obrolan Pelanggan Messenger oleh Zotabox (<1.4.9)
- Kode Pendek ND (<= 5.8)
- Koran (CVE-2016-10972, 6.4 – 6.7.1)
- Satu nada
- Polling, Survei, Formulir & Pembuat Kuis oleh OpinionStage
- Posting Template Kustom Lite (< 1.7)
- Ulasan Kaya
- Bidang Sederhana
- Smart Google Code Inserter (dihentikan mulai 28 Januari 2022, < 3.5)
- Pelacak Metrik Sosial
- Inti Tim
- Total Donasi (<= 2.0.5)
- WooCommerce
- FAQ Utama WordPress (CVE-2019-17232 dan CVE-2019-17233, 1.24.2)
- Pengambil Umpan RSS WPeMatico, dan
- Kepatuhan WP GDPR (1.4.2)
- Obrolan Langsung WP (8.0.27)
- Dukungan Obrolan Langsung WP
- Integrasi WP-Matomo (WP-Piwik)
- Manajer Pemesanan Cepat WP
- Editor Gaya Visual CSS Pensil Kuning (< 7.2.0)
- Kiriman Terkait Yuzo (5.12.89)
Serangan Malware WordPress Sebelumnya
Intelijen ancaman dan organisasi penelitian Fortinet FortiGuard Labs mengungkapkan botnet lain (sekelompok perangkat yang terhubung ke internet yang dilanggar) yang dikenal sebagai GoTrim. Jaringan ini dibuat menggunakan teknik brute-force pada situs web yang dihosting sendiri yang menggunakan WordPress CMS, memberi mereka kendali penuh atas sistem.
Sucuri, platform keamanan & perlindungan situs web milik GoDaddy, mengidentifikasi lebih dari 15.000 situs web WordPress yang dilanggar pada akhir tahun 2022. Ini adalah bagian dari keseluruhan kampanye malware yang bertujuan mengarahkan pengunjung situs web ke portal Tanya Jawab yang dikendalikan oleh penjahat dunia maya. Pada Januari 2023, lebih dari 9.000 situs web ini masih terinfeksi.
Pada musim panas 2022, Sucuri juga merilis laporan yang merinci sistem pengarahan lalu lintas (TDS) yang dijuluki '“Parrot” yang menargetkan situs web WordPress menggunakan malware berbasis JavaScript.
Cara Mencegah Serangan Malware Linux
Untuk mencegah serangan semacam itu, semua pengguna WordPress disarankan untuk memperbarui semua komponen situs web mereka, termasuk semua plugin dan tema pihak ketiga. Sebagai praktik terbaik, pengguna juga harus menggunakan kata sandi yang kuat dan detail login yang unik untuk setiap pengguna guna meningkatkan keamanan.
Pemilik situs web juga harus mencadangkan data mereka secara teratur, mengurangi kemungkinan menjadi korban serangan ransomware, sementara itu juga disarankan untuk menginstal plugin keamanan premium yang diperbarui secara berkala.
Membungkus
Serangan yang baru diidentifikasi ini menargetkan lebih dari 20 plugin dan tema WordPress yang dihosting di lingkungan Linux, memungkinkan penjahat dunia maya mengeksekusi malware. Banyak dari serangan ini melibatkan pengalihan pengunjung situs web ke situs web palsu, sementara yang lain membantu peretas mengembangkan botnet yang dapat digunakan untuk berbagai kejahatan.
Pengguna WordPress dapat mencegah serangan semacam itu dengan terus memperbarui semua plugin dan tema dan menggunakan kredensial masuk yang kuat. Sebagian besar situs web yang menjadi korban serangan malware tidak terpelihara dengan baik, memasang keamanan minimal, dan menggunakan kata sandi yang lemah.