Hackers di balik kampanye cryptomining telah berhasil menghindari deteksi sejak 2019. Serangan tersebut mengeksploitasi API Docker yang salah dikonfigurasi yang memungkinkan mereka untuk mendapatkan entri jaringan dan akhirnya membuat pintu belakang pada host yang disusupi untuk menambang cryptocurrency, kata para peneliti.
Teknik serangannya berbasis skrip dan dijuluki "Autom", karena mengeksploitasi file "autom.sh". Penyerang secara konsisten menyalahgunakan kesalahan konfigurasi API selama periode aktif kampanye, namun taktik penghindaran bervariasi – memungkinkan musuh terbang di bawah radar, tulis tim riset Aquasec, Team Nautilus dalam laporan yang diterbitkan Rabu.
Attackers mencapai honeypots yang disiapkan oleh Tim Nautilus 84 kali sejak 2019, dengan 22 serangan pada 2019, 58 pada 2020, dan empat pada 2021 sebelum para peneliti mulai menulis laporan mereka pada Oktober, kata para peneliti. Para peneliti juga melaporkan serangan pada honeypots menurun secara signifikan tahun ini, sementara penargetan keseluruhan dari API Docker yang dikonfigurasi dengan buruk tidak, menurut pencarian Shodan, catat para peneliti.
“Penurunan serangan pada honeypots kami mungkin menyiratkan bahwa penyerang mengidentifikasi mereka dan karenanya mengurangi volume serangan mereka pada tahun 2021,” tulis mereka.
Meskipun penyerang menggunakan titik masuk dan taktik yang sama untuk mencapai tujuan akhir cryptomining mereka selama vektor serangan, apa yang paling mengubah serangan selama bertahun-tahun adalah bagaimana aktor ancaman terus-menerus berevolusi mengelak manuver untuk menghindari deteksi, kata peneliti.
“Kami melihat perkembangan kampanye dalam taktik yang digunakan musuh untuk menghindari deteksi,” tulis mereka dalam laporan.
Attackers juga telah menggunakan lima server berbeda untuk mengunduh skrip shell yang memulai menyerang sejak mereka mulai, kata mereka. “Tampaknya kelompok di balik serangan itu telah mengembangkan keterampilan mereka untuk memperluas permukaan serangan dan menyebarkan serangan mereka,” tulis para peneliti.
Attack Breakdown
Team Nautilus pertama kali mengamati serangan itu pada tahun 2019 ketika perintah jahat dieksekusi selama menjalankan vanilla image alpine :latest, yang mengunduh skrip shell autom.sh, kata mereka dalam laporan. Musuh biasanya menggunakan gambar vanilla bersama dengan perintah jahat untuk melakukan serangan karena sebagian besar organisasi mempercayai gambar ini dan mengizinkan penggunaannya, peneliti menjelaskan.
Attackers secara konsisten telah menggunakan titik masuk yang sama untuk serangan, yang dijalankan dari server jauh yang mencari host yang rentan untuk mengeksploitasi API Docker yang salah dikonfigurasi, tulis mereka.
Kemudian mereka menjalankan gambar vanilla dan shell jahat berikutnya, yang membuat pengguna dengan dua metode—adduser, yang menambahkan pengguna dengan menyiapkan folder beranda akun dan setelan lainnya, dan useradd, perintah utilitas level untuk menambahkan pengguna–dengan nama akay.
Karena pengguna yang baru dibuat tidak memiliki hak istimewa, aktor ancaman meningkatkan hak istimewa dengan menggunakan awalan “sudo” dan kemudian mengubahnya menjadi pengguna root, yang memberikan hak istimewa tak terbatas untuk menjalankan perintah apa pun file sudoers. Ini mengontrol bagaimana sudo bekerja pada mesin yang ditargetkan, pada dasarnya menjadikan aktor ancaman sebagai pengguna super, tulis para peneliti.
Attackers kemudian menggunakan domain icanhazip[.]com untuk mendapatkan alamat IP publik dari host yang disusupi dan menggunakannya untuk mengunduh file dari menghapus server. Melalui serangkaian langkah ini, penyerang memasang pintu belakang yang memberi mereka kegigihan pada host yang disusupi untuk menambang cryptocurrency secara diam-diam, tulis para peneliti. , mereka telah mengubah dua hal-server tempat skrip shell autom.sh diunduh dan, terutama, taktik penghindaran spesifik, kata para peneliti.
Untuk poin terakhir, Tim Nautilus telah mengamati kampanye yang berkembang dari tidak memiliki "teknik khusus" karena menyembunyikan bisnis jahatnya pada tahun 2019 untuk menambahkan taktik penyembunyian yang lebih kompleks selama dua tahun ke depan, kata para peneliti.
Pada tahun 2020, mereka menonaktifkan sejumlah mekanisme keamanan untuk tetap tersembunyi, termasuk ufw (Firewall Tidak Terkomplikasi), yang memungkinkan pengguna untuk mengizinkan atau menolak akses ke layanan dan NMI (interupsi non-maskable), yang merupakan interupsi dengan prioritas tertinggi yang biasanya terjadi untuk memberi sinyal perhatian untuk kesalahan perangkat keras yang tidak dapat dipulihkan dan digunakan untuk memantau pengaturan ulang sistem.
Tahun ini, penyerang menambahkan teknik baru untuk menyembunyikan aktivitas penambangan kripto dengan mengunduh skrip shell yang dikaburkan dari server jarak jauh, kata para peneliti.
“Mereka mengkodekan skrip di base64 lima kali untuk mencegah alat keamanan membacanya dan memahami maksud di baliknya, ”tulis mereka. “Mendekode skrip mengungkapkan aktivitas penambangan.”
Kemampuan penyembunyian lain yang ditambahkan selama kampanye termasuk mengunduh skrip log_rotate.bin, yang meluncurkan aktivitas penambangan kripto dengan membuat tugas cron baru yang akan memulai penambangan setiap 55 menit pada host yang disusupi , peneliti menambahkan.
“Kampanye Autom menggambarkan bahwa penyerang menjadi lebih canggih, terus meningkatkan teknik dan kemampuan mereka untuk menghindari deteksi oleh solusi keamanan,” mereka mengamati.
Tulis komentar
Bagikan artikel ini:
