Dalam lanskap keamanan siber yang terus berubah, sebuah vektor serangan baru telah muncul, memanfaatkan kerentanan dalam layanan Docker. Analisis ini mengungkapkan bagaimana pelaku ancaman secara strategis menyebarkan penambang cryptocurrency XMRig dan memanfaatkan perangkat lunak 9Hits Viewer, mengintegrasikan mereka ke dalam sebuah operasi monetisasi yang kompleks. Data dari Cado Security, sebuah entitas dalam bidang keamanan cloud, menandai ini sebagai insiden pertama yang tercatat dimana aplikasi 9Hits diimplementasikan sebagai bagian dari muatan malware, menunjukkan evolusi dalam metode eksploitasi oleh aktor ancaman.
9Hits, yang mempromosikan dirinya sebagai solusi untuk pertukaran lalu lintas web otomatis, memungkinkan anggotanya untuk memanipulasi volume lalu lintas situs melalui skema pembelian kredit. Ini dilakukan melalui perangkat lunak 9Hits Viewer, yang menjalankan browser Chrome dalam mode tanpa kepala, otomatis mengakses situs yang diminta oleh anggota lain untuk mengakumulasi kredit. Ini menciptakan sebuah ekosistem di mana lalu lintas web dapat dipertukarkan atau dibeli untuk meningkatkan visibilitas situs.
Baca Juga : Cryptojacking: Apa itu, Cara Kerjanya dan Cara Mencegahnya
Teknik distribusi malware terhadap target yang rentan dalam infrastruktur Docker masih dalam tahap penelitian. Indikasi awal menunjukkan penggunaan mesin pencari seperti Shodan untuk identifikasi awal target yang potensial. Aktor ancaman kemudian mengeksploitasi kerentanan ini dengan menyuntikkan dua kontainer yang mengandung malware melalui Docker API, mengambil keuntungan dari gambar yang telah tersedia di Docker Hub untuk 9Hits dan XMRig.
Pendekatan ini menggambarkan sebuah tren di mana aktor ancaman memilih untuk memanfaatkan gambar yang tersedia secara publik dari Docker Hub, daripada mengembangkan gambar khusus untuk tujuan eksploitasi mereka, menurut peneliti keamanan Nate Bill. Ini menunjukkan preferensi untuk memanfaatkan sumber daya yang ada secara efisien dalam melancarkan serangan.
Operasionalisasi kontainer 9Hits melibatkan eksekusi kode untuk mengautentikasi dengan layanan 9Hits menggunakan token sesi, diikuti dengan pengambilan daftar situs web yang dijadwalkan untuk dikunjungi, memfasilitasi generasi kredit untuk aktor ancaman. Konfigurasi ini termasuk izin untuk mengunjungi situs dengan konten dewasa atau yang mengandung popup, sementara menghindari situs-situs terkait cryptocurrency.
Sementara itu, kontainer yang menjalankan XMRig terhubung ke sebuah pool penambangan privat, menutupi detail operasional dan mempersulit penilaian terhadap skala atau keuntungan finansial dari kampanye ini bagi aktor ancaman.
Baca Juga : Dampak Serangan Botnet pada Bisnis: Kerugian Finansial dan Reputasi
Dampak dari eksploitasi ini terhadap host yang terinfeksi mencakup degradasi sumber daya yang signifikan, dengan penambang XMRig mengalokasikan semua sumber daya CPU yang tersedia, sementara 9Hits menyerap bandwith yang substansial, memori, dan sisa CPU yang tersedia. Hal ini mengganggu operasi normal dari beban kerja yang sah pada server yang terinfeksi, merusak kinerja dan reliabilitas mereka. Selain itu, ada kemungkinan bahwa kampanye ini dapat dikembangkan lebih lanjut untuk memasukkan backdoor atau shell jarak jauh, meningkatkan risiko terhadap insiden keamanan yang lebih serius.
Kesimpulan ini menekankan pentingnya pemahaman yang mendalam tentang taktik, teknik, dan prosedur (TTP) yang digunakan oleh aktor ancaman, memungkinkan para profesional keamanan siber untuk mengembangkan strategi pertahanan yang lebih efektif dalam melawan jenis eksploitasi ini.
