Kelompok Hacker TeamTNT Menargetkan Kubernetes dengan CryptoJacking

TeamTNT-membajak-kubernetes-dengan-cryptojacking

Local-Hunter.com - Peneliti keamanan siber dari PaloAlto kembali mendeteksi adanya kampanye malware yang menargetkan cluster Kubernetes dengan meluncurkan cryptojacking. Operasi cryptojacking yang dilakukan TeamTNT disebut sebagai Hildegard.

Hildegard pertama kali ditemukan pada Januari 2021 dan menurut analisa yang dilakukan peneliti bahwa infrastruktur cryptojacking yang dibuat oleh TeamTNT masih dalam proses pengembangan. Unit42 PaloAlto juga menginformasikan bahwa domain server di daftarkan pada Desember 2020.

Dalam melancarkan serangan terhadap lingkungan Kubernetes, TeamTNT memperoleh akses awal dengan perintah kubelet. Kubelet sendiri adalah agen yang berjalan di setiap node Kubernetes, yang memungkinkan diakses secara anonim.


Kesalahan konfigurasi pada kubelet dapat mengakibatkan adanya serangan seperti halnya yang dilakukan oleh TeamTNT dalam menyebarkan kampanye cryptojacking. Karena kubelet dapat diakses secara anonim, maka penyerang memungkinkan mengakses API untuk menjalankan perintah melalui kubelet serta menjalankan kontainer.

"Belum ada aktivitas apa pun sejak deteksi awal kami, yang menandakan kampanye ancaman mungkin masih dalam tahap pengintaian dan persenjataan. Namun, mengetahui kemampuan malware dan lingkungan target ini, kami memiliki alasan kuat untuk percaya bahwa grup tersebut akan segera meluncurkan serangan berskala lebih besar." kata Unit42.

"Malware dapat memanfaatkan sumber daya komputasi yang melimpah di lingkungan Kubernetes untuk cryptojacking dan berpotensi mengekstrak data sensitif dari puluhan hingga ribuan aplikasi yang berjalan di cluster." tambahan Unit42 PaloAlto.

Menurut analisis Unit42, TeamTNT menggunakan dua alat bantu yang disebut sebagai Peirates dan BOtB, yang mampu membobol kontainer melalui kerentanan yang ditemukan serta mengakses sumber cloud melalui informasi kredensial yang terbuka.

Tools Peirates akan mengumpulkan informasi sebanyak mungkin dari infrastruktur kredensial cloud dan mencari akses dari layanan metadata cloud dan token akun dari cluster Kubernetes. Sementara BOtB melengkapi tugas dari Peirates yakni meretas kontainer menggunakan kerentanan yang diberi label CVE-2019-5736.

Dampak dari serangan cryptojacking adalah peretas dapat membajak sumber daya serta melakukan denial of service (DoS) sehingga seluruh sistem sumber daya cloud akan cepat habis dikarenakan peretas menggunakan kecepatan mining hingga ~25.05 KH/s.

Baca berita lainnya melalui : Google News LocalHunter

Posting Komentar

0 Komentar