Les chercheurs en cybersécurité ont découvert une infrastructure d’attaque qui est utilisée dans le cadre d’une « campagne potentiellement massive » contre les environnements natifs du cloud.
« Cette infrastructure en est aux premiers stades des tests et du déploiement, et est principalement cohérente avec un ver cloud agressif, conçu pour se déployer sur les API JupyterLab et Docker exposées afin de déployer le malware Tsunami, le piratage des informations d’identification cloud, le piratage des ressources et une nouvelle infestation du ver », société de sécurité cloud Aqua a dit.
L’activité, baptisée Silentbob en référence à un domaine AnonDNS mis en place par l’attaquant, serait lié au tristement célèbre groupe de cryptojacking suivi sous le nom de TeamTNT, citant des chevauchements dans les tactiques, techniques et procédures (TTP). Cependant, l’implication d’un « imitateur avancé » n’a pas été exclue.
L’enquête d’Aqua a été déclenchée à la suite d’une attaque ciblant son pot de miel début juin 2023, conduisant à la découverte de quatre images de conteneurs malveillantes conçues pour détecter les instances exposées de Docker et Jupyter Lab et déployer un mineur de crypto-monnaie ainsi que la porte dérobée Tsunami.
Cet exploit est réalisé au moyen d’un script shell qui est programmé pour se lancer au démarrage du conteneur et est utilisé pour déployer le Go-based ZGrab scanner pour localiser les serveurs mal configurés. Docker a depuis retiré les images du registre public. La liste des images est ci-dessous –
- shanidmk/jltest2 (44 tirages)
- shanidmk/jltest (8 tirages)
- shanidmk/sysapp (11 extractions)
- shanidmk/blob (29 tirages)
shanidmk/sysapp, en plus d’exécuter un mineur de crypto-monnaie sur l’hôte infecté, est configuré pour télécharger et exécuter des binaires supplémentaires, qui, selon Aqua, pourraient être soit des cryptomineurs de sauvegarde, soit le malware Tsunami.
🔐 Gestion des accès privilégiés : apprenez à relever les principaux défis
Découvrez différentes approches pour relever les défis de la gestion des comptes privilégiés (PAM) et améliorer votre stratégie de sécurité des accès privilégiés.
Le conteneur télécharge également un fichier nommé « aws.sh.txt », un script qui est probablement conçu pour analyser systématiquement l’environnement à la recherche de clés AWS en vue d’une exfiltration ultérieure.
Aqua a déclaré avoir trouvé 51 serveurs avec des instances JupyterLab exposées dans la nature, qui ont toutes été activement exploitées ou ont montré des signes d’exploitation par des acteurs de la menace. Cela inclut une « attaque manuelle en direct sur l’un des serveurs qui a utilisé masscan pour rechercher les API Docker exposées ».
« Au départ, l’attaquant identifie un serveur mal configuré (soit l’API Docker ou JupyterLab) et déploie un conteneur ou s’engage avec l’interface de ligne de commande (CLI) pour rechercher et identifier d’autres victimes », ont déclaré les chercheurs en sécurité Ofek Itach et Assaf Morag.
« Ce processus est conçu pour propager le malware sur un nombre croissant de serveurs. La charge utile secondaire de cette attaque comprend un crypto-mineur et une porte dérobée, cette dernière utilisant le malware Tsunami comme arme de choix. »