Crédit : Dreamstime
LemonDuck, un botnet de cryptominage bien connu, cible Docker sur Les systèmes Linux pour créer de l’argent numérique, a rapporté CloudStrike.
Le groupe de recherche sur les risques du fournisseur a révélé dans un blog écrit par Manoj Ahuje que le botnet exploite les API Docker exposées à Internet pour exécuter des conteneurs nuisibles sur les systèmes Linux.
Docker est utilisé pour développer, exécuter et gérer des charges de travail conteneurisées. Puisqu’elle s’exécute principalement dans le cloud, une instance mal configurée peut exposer une API Docker sur le Web où elle peut être exploitée par un acteur dangereux, qui peut exécuter un crypto-mineur dans un conteneur criminel.
Les conteneurs Docker sont une cible facile
Mike Parkin, ingénieur chez Vulcan Cyber, une société de SaaS pour la suppression des cyber-risques d’entreprise, explique que l’une des principales méthodes par lesquelles les opposants compromettent les environnements conteneurisés se fait par des erreurs de configuration, ce qui montre simplement combien d’organisations ne suivent pas les meilleures pratiques du marché.
» Il existe des outils facilement disponibles qui peut protéger ces environnements contre une utilisation non autorisée, et des outils de suivi du travail qui peuvent signaler une activité inhabituelle », a-t-il déclaré lors d’une interview. » Le défi peut être la coordination entre les groupes d’avancement et les équipes de sécurité, mais il existe des outils de gestion des menaces qui peuvent également gérer cela. «
Ratan Tipirneni, président et PDG de Tigera, un fournisseur de services de sécurité et observabilité pour les conteneurs, Kubernetes et le cloud, a ajouté que bien que Docker offre un degré élevé de programmabilité, de flexibilité et d’automatisation, il a des effets négatifs involontaires sur l’augmentation de la surface d’attaque.
» C’est particulièrement vrai à mesure que les innovations en matière de conteneurs sont adoptées plus largement par le marché grand public », a-t-il déclaré dans une interview. » Cela produit une cible facile pour les adversaires pour mettre en péril Docker, étant donné qu’il libère une grande puissance de calcul pour le cryptominage. «
Comment fonctionne LemonDuck
Après avoir exécuté son conteneur malveillant sur une API exposée, LemonDuck télécharge un fichier image appelé core.png déguisé en script bash, a expliqué Ahuje. Core.png fonctionne comme un point pivot pour établir un cronjob Linux, qui peut être utilisé pour configurer des scripts ou d’autres commandes à exécuter instantanément.
Le cronjob est ensuite utilisé pour télécharger un fichier déguisé appelé a.asp , qui est en fait un fichier de célébration. Si un système utilise le service de suivi d’Alibaba Cloud, qui peut repérer les instances cloud pour des activités malveillantes si son représentant est configuré sur un hôte ou un conteneur, a.asp peut le désactiver pour empêcher sa détection par un fournisseur de cloud.
A.asp télécharge et exécute également XMRig en tant que fichier xr qui exploite la crypto-monnaie. XMRig est trompeur car il utilise un pool de proxy de cryptominage. » Les piscines proxy aident à cacher l’adresse réelle du portefeuille crypto où les contributions sont apportées par l’activité minière actuelle « , a composé Ahuje.
La technique d’attaque de LemonDuck est sournoise. Plutôt que d’analyser en masse les variétés d’adresses IP publiques à la recherche d’une surface d’attaque exploitable, il tente de se déplacer latéralement en recherchant des secrets SSH.
« C’est l’un des facteurs pour lesquels ce projet n’était pas aussi évident que d’autres campagnes minières menées par d’autres groupes », a gardé à l’esprit Ahuje. Lorsque des secrets SSH sont découverts, poursuit-il, l’agresseur les utilise pour se connecter aux serveurs et exécuter leurs scripts nuisibles.
Développement d’attaques cloud
Ian Ahl, vice-président de l’étude de recherche sur les dangers et de l’ingénierie de détection chez Permiso, une entreprise d’applications logicielles de sécurité cloud, a observé que » bien que cela ne soit pas inhabituel, la désactivation des services de suivi cloud tels que Cloud Defense d’Alibaba par le malware révèle une compréhension des environnements cloud « .
« Cibler les services Docker est une niche, mais pas imprévue », a-t-il déclaré dans une interview. » À mesure que les environnements cloud mûrissent, les attaques contre eux augmentent également. LemonDuck est également particulièrement territorial. Il désactive les logiciels malveillants concurrents s’il est trouvé. «
» Outre la maturité et la compréhension des environnements cloud, il s’agit d’un autrement simple mineur de crypto-monnaie « , a-t-il ajouté.
Ahuje de CrowdStrike explique que le boom de la crypto-monnaie, combiné à l’adoption du cloud et des conteneurs dans les entreprises, a été une alternative financièrement intéressante pour les assaillants. Considérant que les environnements de cloud et de conteneurs utilisent largement Linux, cela a attiré l’attention des opérateurs de botnets comme LemonDuck.
» Chez CrowdStrike », a composé Ahuje, » nous nous attendons à ce que ce type de projets par de grands opérateurs de botnets augmente à mesure que l’adoption du cloud continue de croître. «
Toute l’actualité en temps réel, est sur L’Entrepreneur
