Serangan 'CanisterWorm' Baru Targetkan Infrastruktur Cloud di Iran

Serangan Wiper Baru Menargetkan Infrastruktur Cloud di Iran

Sebuah kelompok kriminal siber bernama TeamPCP baru-baru ini meluncurkan serangan siber berbahaya bernama CanisterWorm. Serangan ini menargetkan sistem yang menggunakan zona waktu Iran atau memiliki bahasa Farsi sebagai pengaturan default. Para ahli keamanan menyebutkan bahwa serangan ini muncul sebagai upaya kelompok tersebut untuk terlibat dalam konflik digital yang melibatkan Iran.

Bagaimana CanisterWorm Menyebar dan Beroperasi

CanisterWorm menyebar melalui layanan cloud yang tidak aman dengan memanfaatkan kerentanan yang sudah diketahui, seperti API Docker yang terekspos, kluster Kubernetes, server Redis, dan celah React2Shell. Setelah menginfeksi sistem, malware ini akan menghapus data pada sistem yang terdeteksi memiliki zona waktu Iran atau bahasa Farsi.

Menurut peneliti keamanan Charlie Eriksen dari Aikido, jika komponen wiper mendeteksi korban berada di Iran dan memiliki akses ke kluster Kubernetes, malware ini akan menghancurkan data pada setiap node di kluster tersebut. Jika tidak, malware hanya akan menghapus data pada mesin lokal korban.

Teknik Serangan yang Digunakan TeamPCP

TeamPCP dikenal menggunakan teknik serangan yang sudah umum, namun diotomatisasi secara besar-besaran. Laporan dari firma keamanan Flare menyebutkan bahwa kelompok ini lebih fokus pada infrastruktur cloud daripada perangkat pengguna akhir. Infrastruktur cloud yang paling banyak disusupi adalah Azure (61%) dan AWS (36%), yang mencakup 97% dari total server yang diserang.

Flare menjelaskan bahwa kekuatan TeamPCP bukan berasal dari eksploitasi baru atau malware asli, melainkan dari otomatisasi skala besar dan integrasi teknik serangan yang sudah ada. Kelompok ini mengubah kerentanan, kesalahan konfigurasi, dan alat-alat yang sudah ada menjadi platform eksploitasi cloud-native yang dapat menyebar sendiri.

Serangan Rantai Pasokan terhadap Trivy

Pada tanggal 19 Maret, TeamPCP melakukan serangan rantai pasokan terhadap Trivy, alat pemindai kerentanan dari Aqua Security. Mereka menyisipkan malware pencuri kredensial ke dalam rilis resmi di GitHub Actions. Meskipun Aqua Security telah menghapus file berbahaya tersebut, firma keamanan Wiz menemukan bahwa para penyerang berhasil menerbitkan versi berbahaya yang mencuri kunci SSH, kredensial cloud, token Kubernetes, dan dompet cryptocurrency dari pengguna.

Infrastruktur 'CanisterWorm' yang Tahan terhadap Penghapusan

Aikido menamai infrastruktur TeamPCP sebagai CanisterWorm karena kelompok ini menggunakan Internet Computer Protocol (ICP) canister. Canister adalah sistem kontrak pintar berbasis blockchain yang tahan terhadap manipulasi. Canister dapat menyajikan konten web secara langsung kepada pengunjung dan memiliki arsitektur terdistribusi yang membuatnya sulit untuk ditutup. Canister akan tetap dapat diakses selama operatornya terus membayar biaya dalam mata uang virtual untuk menjaga operasionalnya.

Klaim Penyerang tentang Keberhasilan Serangan

Menurut Eriksen, para pelaku di balik TeamPCP membanggakan pencapaian mereka di grup Telegram dan mengklaim telah mencuri data sensitif dalam jumlah besar dari perusahaan besar. Klaim ini mencakup pencurian kredensial dan akses ke infrastruktur kritis, meskipun belum ada konfirmasi resmi dari perusahaan yang menjadi korban.

Langkah-Langkah Keamanan yang Dianjurkan

• Pastikan API cloud dan layanan yang diekspos telah diamankan dengan benar.
• Perbarui dan patch sistem secara berkala untuk menutup celah keamanan.
• Gunakan autentikasi multi-faktor (MFA) untuk melindungi akun penting.
• Pantau aktivitas jaringan secara real-time untuk mendeteksi serangan dini.
• Lakukan audit keamanan secara berkala terhadap infrastruktur cloud.