Ancaman siber cryptojacking terbaru mengemuka, secara cermat memanfaatkan kerentanan pada lingkungan DevOps untuk menambang mata uang kripto secara ilegal. Serangan ini menargetkan server yang menjalankan platform orkestrasi kontainer populer.
Fokus utama para pelaku ancaman adalah server Linux yang menjalankan Docker dan Kubernetes. Mereka secara aktif mencari instance yang terekspos atau memiliki konfigurasi yang salah, menjadikan platform kontainer dan orkestrasi ini sasaran empuk. Layanan lain seperti Redis dan platform kolaborasi seperti Atlassian Confluence dengan kerentanan juga menjadi target.
Serangan dimulai dengan mengeksploitasi API yang terbuka pada Docker Engine atau Kubernetes. Setelah akses awal didapat, skrip berbahaya diunduh dan dieksekusi. Skrip ini bertugas menginstal malware penambang kripto dan menyiapkan mekanisme agar serangan tetap berjalan.
Malware utama yang digunakan dalam kampanye ini adalah XMRig, sebuah program yang dirancang untuk menambang Monero (XMR). Untuk memastikan persistency, pelaku ancaman mengonfigurasi tugas cron job atau layanan systemd, memastikan malware aktif kembali bahkan setelah sistem di-boot ulang.
Dampak langsung bagi organisasi yang terinfeksi adalah penggunaan sumber daya server yang ekstrem, terutama CPU, untuk aktivitas penambangan mata uang kripto. Hal ini menyebabkan penurunan performa sistem yang signifikan, peningkatan biaya listrik, dan potensi risiko keamanan lainnya seperti pergerakan lateral dalam jaringan.
Melindungi diri dari ancaman cryptojacking ini membutuhkan pendekatan proaktif. Langkah penting meliputi mengamankan konfigurasi API Docker dan Kubernetes, menerapkan otentikasi kuat, melakukan segmentasi jaringan, rutin melakukan patching terhadap kerentanan yang diketahui pada semua layanan, dan mengimplementasikan monitoring aktivitas server yang mencurigakan.
Sumber: https://securityaffairs.com/178548/cyber-crime/cryptojacking-campaign-relies-on-devops-tools.html