Dalam serangan yang baru-baru ini ditemukan, grup penjahat siber TeamTNT mengandalkan alat cloud monitoring yang sah sebagai backdoor pada infrastruktur cloud yang disusupi.
Mereka menggunakan alat open source yang disebut Weave Scope, yang mana alat tersebut dibuat khusus untuk memantau dan mengontrol lingkungan cloud dengan instalasi Docker dan Kubernetes, sehingga bisa mengurangi jejak mereka di server yang disusupi.
“Sepengetahuan kami, ini adalah pertama kalinya penyerang ditemukan menggunakan perangkat lunak pihak ketiga yang sah untuk menargetkan infrastruktur cloud,” kata perusahaan keamanan siber Intezer dalam analisis yang mereka terbitkan.
Selain itu, TeamTNT tidak hanya memetakan lingkungan cloud korbannya, tetapi juga menjalankan perintah sistem tanpa harus menyebarkan kode berbahaya pada server target secara eksplisit.
Menjelaskan aliran serangan dari insiden tersebut, para peneliti mengatakan bahwa bagaimana cara TeamTNT bisa menyusup yaitu dari API Docker yang terbuka. Ini memungkinkan mereka untuk membuat container Ubuntu bersih yang dikonfigurasi untuk dipasang di server korban, sehingga mendapatkan akses ke file di host.
Kemudian mereka menyiapkan pengguna lokal bernama ‘hilde’ dengan hak istimewa yang tinggi dan menggunakannya untuk menyambung ke server melalui SSH. Memasang Weave Scope adalah langkah selanjutnya dalam serangan, yang hanya membutuhkan tiga perintah untuk mengunduh, mengatur izin atas aplikasi Scope, dan meluncurkannya.
Dengan utilitas di server, TeamTNT dapat terhubung ke dasbor Weave Scope melalui HTTP pada port 4040 (default untuk endpoint aplikasi Scope) dan mengambil kendali.
Baca Juga: “Doki, Malware Linux Baru Yang Menargetkan Server Docker“
Para peneliti mengatakan skenario penggunaan alat cloud monitoring yang sah sebagai backdoor seperti ini, meskipun jarang, dapat dicegah jika port API Docker ditutup atau kebijakan akses terbatas diberlakukan.
Kesalahan konfigurasi lainnya memungkinkan koneksi ke dasbor Weave Scope dari luar jaringan. Dokumentasi untuk alat tersebut juga menjelaskan tentang tidak membuat port 4040 dapat diakses melalui internet.
TeamTNT muncul di radar peneliti keamanan pada awal Mei 2020 sebagai grup cryptomining, ketika MalwareHunterTeam men-tweet tentang hal itu dan Trend Micro mengungkapkan bahwa penyerang memindai internet untuk mencari port daemon Docker yang terbuka.
