Kelompok Hacker TeamTNT Curi API Login Docker dan Kredensial AWS untuk Menginfeksi Botnet Crypto-Mining

Berita-Botnet-Terbaru

Local-Hunter.com - TeamTNT kembali beraksi dengan memasang botnet crypto-mining sekaligus dapat mencuri API login Docker bersamaan kredensial AWS yang tidak di konfigurasi dengan aman. Temuan ini disampaikan oleh peneliti keamanan Alfredo Oliveira dari Trend Micro.

Botnet yang dijalankan oleh kelompok hacker TeamTNT merupakan operasi malware penambangan kripto yang telah aktif sejak April 2020 dengan menargetkan pengguna Docker. Catatan aksi kelompok TeamTNT sudah di ikuti oleh pakar keamanan dari Trend Micro, tetapi perusahaan Cado Security juga menemukan botnet yang mengincar installasi Kubernetes yang memiliki kesalahan konfigurasi.

Trend Micro menganalisis bahwa kelompok ini mengakses kontainer Docker yang terekspos di internet lalu berupaya menginstall malware crypto-mining. Selain itu, botnet yang dimiliki juga mampus mencuri kredensial server Amazon Web Services dengan tujuan menginfeksi lebih banyak server dan menyebarkan crypto-mining ke server lainnya.

Setelah menginfeksi sistem Docker dan Kubernetes yang berjalan di server AWS, botnet itu akan melakukan scanning pada lokasi direktori  ~/.aws/credential dan ~/.aws/config yang merupakan tempat penyimpanan kredensial AWS CLI dan detail konfigurasi dalam file yang tidak dienkripsi.

Malware yang digunakan kelompok TeamTNT berjeniskan XMRig, salah satu alat penambang untuk cryptocurrency Monero.

Trend Micro menganalisis bahwa atribusi infeksi yang diterapkan TeamTNT didasarkan pada URL Command & Control (C2), string,  kunci kripto serta bahasa yang digunakan. Sampel ini berbeda dari sebelumnya kemungkinan metode serangan sudah ditingkatkan.

"Skrip shell yang digunakan oleh TeamTNT dikembangkan dari bahasa pemrograman Bash dan teknik pengembangan telah disempurnakan untuk skrip ini. Sampel ditulis dengan baik dan diatur menurut fungsi dengan nama deskriptif," kata Alfredo, analisis keamanan Trend Micro.

Varian bot ini mengumpulkan kredensial API login Docker yang menggunakan rutinitas pemeriksa file kredensial di mesin target lalu mengekstraknya. Sampel lainnya juga ditemukan yang mencakup rutinitas baru.

"Yang pertama meminta layanan metadata AWS dan mencoba mendapatkan kredensial AWS dari sana dan yang kedua akan memeriksa nama variabel di lingkungan kredensial AWS. Jika keduanya ditemukan, mereka akan di unggah ke server Command & Control." kata Alfredo.

Ancaman yang dilakukan oleh kelompok TeamTNT menargetkan platform kontainer, akan tetapi para peneliti mengidentifikasi bahwa semua sampel kontainer berbahaya sudah diunduh lebih dari 2.000. Mereka juga mampu memasang backdoor berbahaya untuk terhubung jarak jauh jika diperlukan.

Posting Komentar

0 Komentar