Malware Baru Serang Server Oracle WebLogic di Linux

Peneliti keamanan dari Aqua Nautilus telah mengidentifikasi jenis malware baru yang dikenal sebagai Hadooken, yang secara khusus menargetkan server Oracle WebLogic. Malware ini memanfaatkan kelemahan dalam kredensial administrator yang lemah untuk memperoleh akses awal, menunjukkan pentingnya praktik keamanan yang lebih ketat dalam pengelolaan akses server.

Ancaman ini memiliki dua komponen utama: cryptominer dan malware Tsunami, yang berfungsi untuk mengeksploitasi sumber daya sistem dan menciptakan akses belakang, mengakibatkan kerusakan yang signifikan bagi integritas sistem.

Mengutip laporan dari Cybersecurity News (16/9/2024), Oracle WebLogic bukan hanya sekedar aplikasi server. Oracle WebLogic adalah platform yang dirancang untuk pengembangan, penempatan, dan pengelolaan aplikasi enterprise berbasis Java EE dan Jakarta EE. Dengan fleksibilitas dan skalabilitas yang ditawarkannya, teknologi ini memainkan peran yang sangat penting dalam Oracle Fusion Middleware, fasilitas yang memungkinkan perusahaan untuk membangun dan mengelola aplikasi yang mendukung operasional sehari-hari mereka.

Tanpa pengamanan yang memadai, server ini dapat menjadi target empuk bagi peretas dan malware, menyoroti betapa kritisnya peningkatan kesadaran dan pelatihan di kalangan pengembang dan administrator sistem untuk melindungi infrastruktur TI mereka.

Malware Hadooken mengambil keuntungan dari celah keamanan yang terkait dengan kredensial administrator yang lemah untuk mengakses server Oracle WebLogic. Setelah mendapatkan akses, malware ini menyebarkan dua komponen utama:

• Cryptominer yang teridentifikasi dengan MD5: 9bea7389b633c331e706995ed4b3999c
• Tsunami Malware dengan MD5: 8eef5aa6fa9859c71b55c1039f02d2e6

Proses serangan ini dimulai dengan penggunaan skrip shell dan Python untuk mengunduh dan mengeksekusi payload, yang sering kali dijalankan di direktori non-persisten seperti /tmp. Cryptominer diinstal dengan nama file seperti '/usr/bin/crondr', '/usr/bin/bprofr', dan '/mnt/-java', sedangkan Tsunami menggunakan nama file acak di /tmp.

Untuk memastikan kelangsungan serangan, malware ini membuat cron job di direktori /etc/cron./ yang beroperasi pada frekuensi yang bervariasi. Selain itu, malware ini juga mencari data SSH di berbagai direktori untuk memperluas serangan secara lateral.

Malware Hadooken menerapkan beberapa teknik evasif, termasuk pengkodean base64, pembersihan log, dan penyamaran proses untuk menyembunyikan aktivitasnya. Beberapa alamat IP yang terlibat dalam serangan ini, seperti 89.185.85.102 dan 185.174.136.204, juga terhubung dengan distribusi ransomware Mallox dan RHOMBUS, serta menunjukkan pendekatan serangan lintas platform.

Tidak hanya itu, sebuah skrip PowerShell bernama 'b.ps1' juga digunakan untuk mendistribusikan ransomware Mallox, yang menunjukkan bahwa serangan ini dirancang untuk menyasar berbagai platform secara bersamaan.

Berdasarkan data dari Shodan, lebih dari 230.000 server WebLogic yang terhubung ke internet telah terdeteksi, dengan ratusan konsol admin yang terbuka dan berpotensi rentan terhadap eksploitasi. Hal ini semakin meningkatkan risiko serangan dan menunjukkan urgensi bagi pengamanan server-server ini.

Para peneliti merekomendasikan beberapa langkah mitigasi untuk mencegah serangan malware ini:

1. Gunakan alat pemindaian Infrastructure as Code (IaC) untuk mendeteksi kesalahan konfigurasi sebelum implementasi.
2. Gunakan alat Cloud Security Posture Management (CSPM) untuk mengkondisikan risiko dalam konfigurasi cloud.
3. Pindai kluster Kubernetes untuk menemukan kesalahan konfigurasi.
4. Amankan image container dan file Docker.
5. Pantau lingkungan runtime untuk deteksi dini.

Dengan adanya serangan malware Hadooken ini, keamanan server Oracle WebLogic semakin menjadi fokus utama, terutama di lingkungan perusahaan yang bergantung pada teknologi ini untuk operasional mereka. Ancaman ini tidak hanya mengganggu sistem dan infrastruktur yang sudah ada, tetapi juga menimbulkan kekhawatiran yang mendalam tentang potensi kerugian data dan reputasi. Perusahaan-perusahaan mulai menyadari bahwa perlindungan terhadap server WebLogic mereka harus lebih dari sekadar penerapan langkah-langkah dasar.

Pendekatan proaktif untuk memantau dan mengamankan server, termasuk penerapan pembaruan keamanan yang tepat waktu dan audit berkala, kini lebih penting dari sebelumnya. Selain itu, pelatihan tim IT dalam mengenali dan merespons serangan siber secara efektif menjadi kunci untuk memperkuat pertahanan mereka di era yang semakin digital ini. Dalam menghadapi tantangan ini, kolaborasi antara berbagai departemen dan penyedia teknologi juga menjadi esensial untuk menciptakan ekosistem yang lebih aman dan tanggap dalam melawan potensi ancaman yang terus berkembang.