Microsoft Exchange Server Diserang Botnet Promotei untuk Tambang Cryptocurrency
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sebuah perangkat lunak jahat (malware) berupa botnet terdeteksi menargetkan kerentanan Microsoft Exchange Server, perangkat unak email milik Microsoft.
Cybereason, perusahaan keamanan siber asal AS, menyebutkan, botnet tersebut bernama “Prometei”. Menargetkan mesin Linux dan Windows, botnet ini pertama kali terlihat tahun lalu yang menggunakan “EternalBlue”—alat peretas (exploit) buatan Badan Keamanan Siber (NSA)—untuk menyerang komputer Windows yang rentan, demikian dikutip dari BleepingComputer, diakses Minggu (25 April 2021).
Namun, menurut Cybereason, Prometei telah aktif selama hampir setengah dekade, berdasarkan artefak Prometei yang dikirimkan ke VirusTotal pada Mei 2016.
Dalam temuan baru-baru ini, Prometei menginfeksi pengguna Microsoft Exchange Server yang belum menambal empat kerentanan yang dieksploitasi besar-besaran sejak Desember 2020. Korban yang disusupi oleh Prometei kemudian dijadikan sebagai sumber daya perangkat untuk menambang mata uang kripto (cryoptomining).
Tak hanya mencuri sumber daya untuk cryptomining, operator botnet juga mencuri informasi.
Berita Terkait
- BSSN Deteksi 284 Komputer Server Terpengaruh Kerentanan Microsoft Exchange Server
- Yang Perlu Diketahui tentang Peretasan Massal Exchange Server
"Ketika penyerang mengendalikan mesin yang terinfeksi, mereka tidak hanya mampu menambang Bitcoin dengan mencuri kekuatan pemrosesan, tetapi juga dapat mengekstraksi informasi sensitif," kata Direktur Senior Cybereason dan Kepala Penelitian Ancaman, Assaf Dahan.
Menurut Assaf, cryptomining tersebut bakal sangat mengganggu keberlangsungan bisnis korban karena proes penambangan menghabiskan daya komputasi jaringan.
Dibekali backdoor
Dalam pantauan Cybereason, Prometei memang dibekali kemampuan pintu belakang (backdoor) yang dapat menjalankan perintah apa pun dari penyerang. Ini berpotensi digunakan penyerang untuk melakukan berbagai macam kerusakan terhadap perangkat korban.
"Jika mereka ingin melakukannya, penyerang juga dapat menginfeksi titik akhir yang disusupi dengan malware lain dan berkolaborasi dengan geng ransomware untuk menjual akses ke titik akhir," tutur perusahaan.
Menurut Cybereason, backdoor tersebut dapat dimanfaatkan untuk mengunduh dan menjalankan file, mencari file pada sistem yang terinfeksi, dan menjalankan program atau perintah atas nama penyerang.
"Versi terbaru Prometei menyediakan penyerang dengan pintu belakang canggih dan tersembunyi yang mendukung berbagai tugas, yang membuat penambangan koin Monero, tidak terlalu menjadi perhatian para korban," kata Tim Cybereason Nocturnus.
Cybereason mengatakan motif peretas tampaknya untuk finansial semata, bukan sebuah aktor yang didukung oleh negara atau APT.
Berbahasa Rusia
Operator botnet diduga berasal dari Rusia; ini merujuk nama “Prometei” merupakan bahasa Rusia untuk Prometheus (Dewa Api Titan dari mitologi Yunani). Tak hanya dari namanya, kode yang dipakai oleh penyerang juga menggunakan bahasa Rusia.
Cybereason menuturkan bahwa penyerang menargetkan berbagai industri termasuk keuangan, asuransi, ritel, manufaktur, utilitas, perjalanan dan konstruksi. Penyerang menginfeksi korban di Amerika Serikat, INggris, dan negara Eropa serta negara-negara di Amerika Selatan dan Asia Timur.
"Pelaku ancaman tampaknya secara eksplisit menghindari target yang menginfeksi di negara-negara bekas blok Soviet," kata Cybereason di situs webnya.
Penyerang merancang ada empat server perintah dan kontrol (C2) berbeda untuk berkomunikasi, yang mana menurut Cybereason membuatnya sulit untuk dihapus.
Disarankan
Karena itu, Cybereason pun menyarankan agar organisasi memastikan semua tambalan kerentanan Microsoft Exchange Server sudah dilakukan secara teratur. Selain itu, aset jaringan harus diperkuat, otentikasi multi-faktor (MFA) harus digunakan, alat deteksi dan responstitik akhir juga harus dipasang.
Prometei bukanlah satu-satunya yang menargetkan kerentanan Microsoft Exchange Server, kelompok peretas lainnya juga melakukan hal yang sama.
Pada Maret lalu, perusahaan keamanan siber ESET, menemukan ada 10 geng peretas yang berupaya mengeksploitasi kerentana Microsoft Exchange Server. Geng hacker itu antara lain Winnti Group, Calypso, Tick (Bronze Butler), Websiic, ShadowPad, The “Opera” CobaltStrike, LuckMouse (APT27), Tonto Team, Mikroceen, dan DLTMiner.
Baca:
- Ada 10 Geng Hacker yang Berupaya Eksploitasi Kerentanan Microsoft Exchange Server
- Geng Ransomware DearCry Eksploitasi Kerentanan Exchange Server
Di bulan yang sama, perusahaan keamanan siber Rusia, Kaspersky, juga mengungkapkan bahwa botnet “Lemon_Duck”—khusus untuk cryptomining—menargetkan kerentana Microsoft Exchange Server. Botnet ini menginstal muatan penambang koin CPU XMRig Monero (XMR) pada perangkat yang terinfeksi untuk melakukan cryptomining.[]
Redaktur: Andi Nugroho
