Diamorphine rootkit memiliki kemampuan untuk mengeksekusi perintah secara diam-diam, menyembunyikan atau menampilkan proses tertentu.
Kelompok peretas terkenal, TeamTNT, kembali muncul dengan serangan terbaru yang menargetkan infrastruktur Virtual Private Server (VPS) berbasis sistem operasi CentOS. TeamTNT, yang telah aktif sejak 2019, dikenal karena aktivitas cryptojacking-nya dan sebelumnya menyasar server Linux, Redis, serta kontainer Docker dan Kubernetes yang salah konfigurasi.
Dilansir dari Cybersecurity News (20/9), menurut laporan terbaru dari peneliti keamanan siber Group-IB, kampanye ini dimulai dengan serangan brute force Secure Shell (SSH) pada aset korban, di mana pelaku ancaman mengunggah skrip berbahaya. Skrip ini dirancang untuk menonaktifkan fitur keamanan, menghapus log, memodifikasi file sistem, serta mencari dan menghentikan proses penambangan kripto yang ada.
Selain itu, skrip tersebut juga menghapus kontainer Docker, memperbarui pengaturan DNS pada server Google, dan menginstal rootkit Diamorphine, sebuah modul kernel Linux yang memungkinkan peretas melakukan aktivitas berbahaya secara tersembunyi di sistem yang terinfeksi.
Diamorphine rootkit memiliki kemampuan untuk mengeksekusi perintah secara diam-diam, menyembunyikan atau menampilkan proses tertentu, dan memberikan akses root kepada pengguna dengan mengirimkan sinyal. Skrip ini juga menciptakan pengguna backdoor dengan akses root, menambahkannya ke grup ‘sudoer’, dan menginstal kunci publik untuk akses aman melalui SSH.
Para peneliti dari Group-IB juga menyebutkan bahwa skrip tersebut mengunci sistem dengan memodifikasi atribut file, sehingga menyulitkan administrator untuk membuka file yang dilindungi dan menghambat upaya pemulihan.
Serangan ini menyoroti tantangan yang semakin kompleks dalam mengamankan infrastruktur cloud. Teknologi berbasis cloud seperti Kubernetes dan Docker memudahkan pelaku ancaman untuk mengeksploitasi konfigurasi yang lemah dan praktik keamanan yang tidak memadai. Versi CentOS 7, yang masih banyak digunakan meskipun dukungannya telah dihentikan, menjadi target utama karena sering kali tidak mendapatkan pembaruan keamanan terkini.
“Fokus TeamTNT pada server VPS berbasis CentOS sangat signifikan karena sistem ini sering kekurangan patch keamanan terbaru, sehingga rentan terhadap serangan,” ujar para peneliti.
Untuk mencegah serangan serupa, tim keamanan disarankan untuk memperkuat konfigurasi SSH, memantau adanya rootkit, serta memastikan lingkungan kontainer terproteksi dengan baik. Selain itu, penerapan langkah-langkah keamanan seperti pembaruan patch, pengaturan firewall untuk membatasi akses layanan, serta pembatasan akses SSH hanya dari alamat IP tertentu sangat penting dilakukan.
Serangan terbaru ini kembali menekankan pentingnya langkah-langkah keamanan yang lebih kuat pada infrastruktur cloud. Seiring berkembangnya teknologi cloud, taktik para pelaku ancaman juga semakin canggih.