Cyberthreat.id - Peneliti dari Cado Security mendeteksi operasi Worm Cryto-Mining yang menargetkan kredensial Amazon Web Service (AWS). Identifikasi yang dilakukan peneliti sejauh ini menyatakan worm Cryto-Mining mencoba mencuri kredensial AWS dari sistem yang berhasil diinfeksi.

Worm merupakan perangkat lunak yang mandiri dan tidak memerlukan program host untuk menyebarkannya. Teknik yang digunakan oleh worm biasanya mencari celah keamanan pada sistem target atau juga menggunakan trik kecil agar pengguna menjalankan worm, seperti link download yang menginstall program tertentu.

Worm pada komputer bisa dikatakan mirip dengan virus yang dapat menyebar dengan cara menyalin diri sendiri sehingga menyebabkan kerusakan yang hampir sama dengan virus.

Menurut tim peneliti keamanan Cado Security, Worm Crypto-Mining dioperasikan sekelompok penyerang yang menyebut diri sebagai TeamTNT. Worm tersebut telah membahayakan banyak sistem Docker dan Kubernetes.

Pada sistem yang terinfeksi, Worm akan mencari dan mengeksfiltrasi kredensial lokal, dan mulai memindai Internet untuk menemukan platform Docker yang salah konfigurasi, untuk menyebarkan worm tersebut.

Kredensial AWS yang ditargetkan disimpan dalam file yang tidak terenkripsi di ~/.aws/credentials, dan malware mencuri informasi dengan mengeksfiltrasi file .credentials (bersama dengan file .config yang disimpan di ~/.aws/config) ke server milik penyerang.

"Kami mengirim kredensial yang dibuat oleh CanaryTokens.org ke TeamTNT, namun kami belum melihatnya digunakan. Ini menunjukkan bahwa TeamTNT menilai dan menggunakan kredensial secara manual, atau otomatisasi apa pun yang mereka buat saat ini tidak berfungsi," kata peneliti Cado dilansir Security Week, Rabu (19 Agustus 2020).

Pada sistem yang berhasil disusupi, worm akan menyebarkan malware yang tersedia untuk umum dan alat keamanan ofensif, seperti punk.py (alat pasca-eksploitasi SSH), alat pembersih log, rootkit Diamorphine, dan pintu belakang IRC Tsunami.

Worm TeamTNT juga dapat memindai API Docker terbuka, menjalankan image Docker, dan menginstal sendiri. Ini menggunakan XMRig untuk menambang mata uang virtual Monero dan menghasilkan pendapatan bagi para penyerang.

Para peneliti mengidentifikasi dua dompet Monero yang terkait dengan operasi tersebut. Sampai saat ini, para penyerang tampaknya baru menghasilkan sekitar $ 300, tetapi menurut perkiraan itu hanya satu dari beberapa operasi mereka. Bahkan terungkap ada sekitar 119 sistem yang telah disusupi, termasuk cluster Kubernetes dan server build Jenkins.

Analisis worm mengungkapkan banyak referensi ke TeamTNT, serta tautan ke domain hosting malware teamtnt [.] Red, yang menampilkan beranda berjudul “TeamTNT RedTeamPentesting.”

Malware milik TeamTNT berisi kode yang disalin dari worm yang disebut Kinsing dimana sebagian besar worm penambangan kripto yang menampilkan kode yang disalin dari pendahulunya. Cado Security meyakini, kedepannya kelompok ini akan menyertakan kemampuan untuk mencuri kredensial AWS juga.

"Sementara ini serangan belum terlalu canggih, banyak kelompok di luar sana yang menyebarkan worm pembajak kripto berhasil menginfeksi sejumlah besar sistem bisnis." []

Redaktur: Arif Rahman