Diskusi lainnya termasuk: Reddit, Stack Overflow (Spanyol), forobeta (Spanyol), brainycp (Rusia), natnetwork (Indonesia), Proxmox (Jerman), Camel2243 (Cina), svrforum (Korea), exabytes, virtualmin, serverfault dan banyak lainnya.
Setelah memanfaatkan kerentanan atau kesalahan konfigurasi, kode eksploitasi mengunduh payload utama dari server, yang dalam kebanyakan kasus, telah diretas oleh penyerang dan diubah menjadi saluran untuk mendistribusikan malware secara anonim. Serangan tersebut menargetkan honeypot para peneliti yang dinamakan payload httpd. Setelah dieksekusi, file menyalin dirinya dari memori ke lokasi baru di direktori /temp, menjalankannya, dan kemudian menutup proses asli dan menghapus biner yang diunduh.
Setelah dipindahkan ke direktori /tmp, file mengeksekusi dengan nama yang berbeda, yang meniru nama proses Linux yang dikenal. File yang dihosting di honeypot dinamai sh. Dari sana, file membentuk proses kontrol dan kontrol lokal dan mencoba mendapatkan hak sistem root dengan memanfaatkan CVE-2021-4043, kerentanan eskalasi hak istimewa yang sudah diperbaiki pada 2021 di Gpac, kerangka multimedia open source yang banyak digunakan.
Malware tersebut kemudian menyalin dirinya dari memori ke beberapa lokasi disk lain, sekali lagi menggunakan nama yang muncul sebagai file sistem rutin. Malware kemudian menjatuhkan rootkit, sejumlah utilitas Linux populer yang telah dimodifikasi untuk berfungsi sebagai rootkit, dan miner. Dalam beberapa kasus, malware juga menginstal perangkat lunak untuk “proxy-jacking,” istilah untuk merutekan lalu lintas secara diam-diam melalui mesin yang terinfeksi sehingga asal data sebenarnya tidak terungkap.
Para peneliti melanjutkan:
Sebagai bagian dari operasi kontrol dan kontrolnya, malware membuka soket Unix, membuat dua direktori di bawah direktori /tmp, dan menyimpan data di sana yang mempengaruhi operasinya. Data ini termasuk peristiwa host, lokasi salinan dirinya, nama proses, log komunikasi, token, dan informasi log tambahan. Selain itu, malware menggunakan variabel lingkungan untuk menyimpan data yang lebih lanjut memengaruhi eksekusi dan perilakunya.
Semua biner dikemas, dipangkas, dan dienkripsi, menunjukkan upaya yang signifikan untuk melewati mekanisme pertahanan dan menghambat upaya rekayasa balik. Malware juga menggunakan teknik penyamaran canggih, seperti menangguhkan aktivitasnya ketika mendeteksi pengguna baru di file btmp atau utmp dan mengakhiri malware bersaing untuk mempertahankan kontrol atas sistem terinfeksi.
Dengan menggeneralisasikan data seperti jumlah server Linux yang terhubung ke internet melalui berbagai layanan dan aplikasi, seperti yang dilacak oleh layanan seperti Shodan dan Censys, para peneliti memperkirakan jumlah mesin yang terinfeksi oleh Perfctl diukur dalam ribuan. Mereka mengatakan bahwa pool mesin yang rentan—yang berarti yang belum menginstal patch untuk CVE-2023-33426 atau mengandung kesalahan konfigurasi yang rentan—berjumlah jutaan. Para peneliti belum mengukur jumlah cryptocurrency yang dihasilkan oleh penambang jahat.
Orang-orang yang ingin mengetahui apakah perangkat mereka telah disasarkan atau terinfeksi oleh Perfctl harus mencari indikator kompromi yang disertakan dalam posting Kamis. Mereka juga harus waspada terhadap lonjakan tidak biasa dalam penggunaan CPU atau perlambatan sistem tiba-tiba, terutama jika terjadi selama waktu tidak aktif. Laporan Kamis juga memberikan langkah-langkah untuk mencegah infeksi dari awal.
Kisah ini awalnya muncul di Ars Technica.