Para peneliti dari Cado Security telah mengamati pergerakan mencurigakan di dunia digital. Mereka telah mengungkap kampanye terbaru dari serangan malware Linux yang mengincar instance-instance rentan dari Apache Hadoop, Confluence, Docker, dan Redis yang tidak terkonfigurasi dengan baik.
Pelaku di balik serangan ini menggunakan trik yang belum pernah terdeteksi sebelumnya. Mereka memanfaatkan empat biner Golang untuk secara otomatis menemukan dan menginfeksi host yang menjalankan layanan-layanan tersebut.
Setelah mendapatkan akses ke dalam sistem, para penyerang menggunakan serangkaian skrip shell dan teknik khusus serangan Linux untuk mengarahkan serbuan mereka. Mereka menjatuhkan dan menjalankan penambang mata uang kripto, serta mempertahankan akses ke host yang disusupi melalui berbagai trik teknis.
Muatan yang digunakan dalam serangan ini memiliki kemiripan dengan serangan cloud sebelumnya yang dikenal, termasuk yang dilakukan oleh kelompok-kelompok berbahaya seperti TeamTNT dan WatchDog.
Peneliti Cado Security Labs berhasil melacak kampanye ini setelah mendeteksi jejak awal pada Docker Engine API. Dengan menggunakan teknik tertentu, para penyerang berhasil menulis executable yang memungkinkan mereka mengambil alih kontrol sistem.
Namun, serangan ini tidak berhenti di situ. Para penyerang juga menyebarkan rootkit serta skrip khusus untuk memperkuat kontrol mereka atas sistem yang terinfeksi. Mereka bahkan memanfaatkan kunci SSH untuk mempertahankan akses terus-menerus ke dalam sistem yang disusupi.
Kampanye ini menggambarkan seberapa beragamnya teknik yang digunakan oleh pelaku kejahatan siber untuk menyerang lingkungan cloud dan Linux. Mereka terus memantau kelemahan-kelemahan yang ada, menggunakan pengetahuan ini untuk menyusup ke dalam lingkungan target.
Dengan perkembangan serangan semacam ini, penting bagi komunitas keamanan siber untuk tetap waspada dan terus meningkatkan pertahanan mereka terhadap ancaman-ancaman yang muncul secara terus-menerus di dunia maya.
Source: https://securityaffairs.com/160093/hacking/linux-malware-cryptocurrency-campaign.html
Source: https://securityaffairs.com/160093/hacking/linux-malware-cryptocurrency-campaign.html