Hacker Manfaatkan Tor dalam Serangan API Docker Terbuka

Peneliti keamanan menemukan kelompok peretas yang menargetkan API Docker terbuka (port 2375) kini memperbarui arsenal mereka dengan kemampuan yang lebih canggih. Aktivitas ini dipandang sebagai langkah awal menuju pembentukan botnet kompleks.

Rantai Infeksi

1. Eksploitasi API Docker: Penyerang mencari host dengan port 2375 terbuka lalu mengirim permintaan pembuatan container menggunakan image Alpine Linux yang dimodifikasi.
2. Perintah Tersembunyi: Container menjalankan perintah shell terenkode base64 untuk menginstal curl dan Tor, lalu mengaktifkan daemon Tor.
3. Tahap Kedua: Melalui Tor, container mengunduh skrip docker-init.sh dari layanan tersembunyi. Skrip ini:
   • Menambahkan kunci SSH milik penyerang ke /root/.ssh/authorized_keys agar akses persisten.
   • Menulis cron job setiap menit untuk memblokir akses eksternal ke port 2375 (menggunakan iptables/nftables/ufw).
   • Menginstal masscan, zstd, libpcap, torsocks untuk pemindaian, propagasi, dan penghindaran deteksi.
4. Payload Tambahan: Skrip mengunduh file biner Go terkompresi (system-linux-ARCH.zst), mengekstraknya, dan mengeksekusi. Biner ini berfungsi sebagai dropper yang dapat membaca file utmp untuk mendeteksi pengguna yang sedang login.

Indikasi Perilaku Botnet

• Replikasi diri: Biner tersebut memindai API Docker lain yang terbuka, mencoba menginfeksi dengan metode sama, serta menghapus container pesaing.
• Ekspansi potensi: Ada logika tidak aktif yang ditujukan untuk eksploitasi Telnet (port 23) dengan kredensial default router serta interaksi dengan Chrome remote debugging (port 9222). Hal ini membuka peluang untuk pencurian kredensial, pembajakan sesi browser, hingga serangan DDoS.

Analisis Peneliti

Menurut Akamai, varian ini menandai transisi dari eksploitasi oportunistik Docker menuju ancaman multi-vektor dengan kemampuan:

• Lateral movement antar host.
• Persistensi lewat SSH & cron job.
• Evasion & propagation dengan Tor dan alat pemindaian.
• Fungsi dorman yang berpotensi dipakai untuk pencurian data dan serangan skala besar.

“Beberapa mekanisme yang mendasarinya membuat kami percaya bahwa varian ini adalah versi awal dari sebuah botnet kompleks,” ungkap tim riset Akamai.

Sumber: Akamai / Trend Micro