Ancaman terhadap infrastruktur cloud-native sedang meningkat, terutama karena penyerang menargetkan sumber daya cloud dan container untuk mendukung operasi penambangan kripto ilegal mereka. Yang terbaru, penjahat dunia maya mendatangkan malapetaka pada sumber daya cloud untuk menyebarkan dan menjalankan perusahaan pembajakan kripto dengan skema yang memakan biaya besar sehingga korban harus membayar sumber daya cloud sebesar $50 untuk setiap mata uang kripto senilai $1 yang ditambang oleh para penjahat dari cadangan komputasi tersebut.
Hal ini berdasarkan laporan baru yang dirilis hari ini dari Sysdig, yang menunjukkan bahwa meskipun pihak-pihak jahat akan tanpa pandang bulu menyerang sumber daya cloud atau container yang lemah yang bisa mereka gunakan untuk mendukung skema penambangan kripto yang menghasilkan uang, mereka juga cerdik dalam mengambil strategi dalam hal ini.
Faktanya, banyak serangan rantai pasokan perangkat lunak yang paling licik sebagian besar dirancang untuk menelurkan cryptominers melalui image container yang terinfeksi. Penyerang tidak hanya memanfaatkan ketergantungan kode sumber yang paling sering dianggap dalam serangan rantai pasokan ofensif โ mereka juga memanfaatkan gambar kontainer berbahaya sebagai sarana serangan yang efektif, menurut Sysdig's โLaporan Ancaman Cloud-Native 2022. "
Penjahat dunia maya memanfaatkan tren dalam komunitas pengembangan untuk berbagi kode dan proyek sumber terbuka melalui image container yang telah dibuat sebelumnya melalui pendaftar container seperti Docker Hub. Gambar kontainer telah menginstal dan mengonfigurasi semua perangkat lunak yang diperlukan dalam beban kerja yang mudah diterapkan. Meskipun hal ini sangat menghemat waktu bagi pengembang, hal ini juga membuka jalan bagi penyerang untuk membuat image yang memiliki muatan berbahaya di dalamnya dan kemudian menyebarkan platform seperti DockerHub dengan perangkat lunak berbahaya mereka. Pengembang hanya perlu menjalankan permintaan tarik Docker dari platform agar image berbahaya tersebut dapat berjalan. Terlebih lagi, pengunduhan dan pemasangan Docker Hub tidak jelas, sehingga semakin sulit untuk mengenali potensi masalah.
โJelas bahwa gambar kontainer telah menjadi vektor serangan yang nyata, bukan risiko teoritis,โ jelas laporan tersebut, dimana Tim Peneliti Ancaman Sysdig (TRT) melalui proses selama berbulan-bulan untuk menyaring gambar kontainer publik yang diunggah oleh pengguna di seluruh dunia ke dalamnya. DockerHub untuk menemukan kejadian berbahaya. โMetode yang digunakan oleh pelaku jahat yang dijelaskan oleh Sysdig TRT secara khusus ditargetkan pada beban kerja cloud dan container.โ
Perburuan tim menemukan lebih dari 1,600 gambar berbahaya yang berisi cryptominers, backdoor, dan malware jahat lainnya yang menyamar sebagai perangkat lunak populer yang sah. Cryptominers adalah yang paling umum, mencapai 36% dari sampel.
โTim keamanan tidak bisa lagi menipu diri mereka sendiri dengan gagasan bahwa 'kontainer terlalu baru atau terlalu singkat untuk diganggu oleh pelaku ancaman,'โ kata Stefano Chierici, peneliti keamanan senior di Sysdig dan salah satu penulis laporan tersebut. โPenyerang ada di cloud dan mereka mengambil uang sungguhan. Tingginya prevalensi aktivitas cryptojacking disebabkan oleh rendahnya risiko dan tingginya imbalan bagi pelakunya.โ
TeamTNT dan Chimera
Sebagai bagian dari laporan tersebut, Chierici dan rekan-rekannya juga melakukan analisis teknis mendalam terhadap taktik, teknik, dan prosedur (TTP) kelompok ancaman TeamTNT. Aktif sejak 2019, menurut beberapa sumber, kelompok ini telah menyusupi lebih dari 10,000 perangkat cloud dan container selama salah satu kampanye serangan paling umum, Chimera. Ini terkenal karena aktivitas worm cryptojacking dan menurut laporan tersebut, TeamTNT terus menyempurnakan skrip dan TTP-nya pada tahun 2022. Misalnya, sekarang mereka menghubungkan skrip dengan layanan AWS Cloud Metadata untuk memanfaatkan kredensial yang terkait dengan instans EC2 dan mendapatkan akses ke sumber daya lain yang terkait dengan instance yang disusupi.
โJika ada izin berlebihan yang terkait dengan kredensial ini, penyerang dapat memperoleh lebih banyak akses. Sysdig TRT percaya bahwa TeamTNT ingin memanfaatkan kredensial ini, jika mampu, untuk membuat lebih banyak instans EC2 sehingga dapat meningkatkan kemampuan dan keuntungan penambangan kripto,โ kata laporan itu.
Sebagai bagian dari analisisnya, tim menggali sejumlah dompet XMR yang digunakan oleh TeamTNT selama kampanye penambangan untuk mengetahui dampak finansial dari cryptojacking.
Memanfaatkan analisis teknis terhadap praktik operasional kelompok ancaman selama operasi Chimera, Sysdig dapat menemukan bahwa musuh merugikan korbannya sebesar $11,000 pada satu instans AWS EC2 untuk setiap XMR yang ditambangnya. Dompet yang ditemukan tim berjumlah sekitar 40 XMR, yang berarti bahwa penyerang menghabiskan tagihan cloud hampir $430,000 untuk menambang koin tersebut.
Dengan menggunakan penilaian koin pada awal tahun ini, laporan tersebut memperkirakan nilai koin-koin tersebut setara dengan $8,100, dengan perhitungan di bagian belakang amplop yang kemudian menunjukkan bahwa untuk setiap dolar yang dihasilkan pelaku kejahatan, mereka merugikan korban setidaknya $53 dalam bentuk tagihan cloud saja.
