Les acteurs malveillants ciblent les serveurs mal configurés et vulnérables exécutant les services Apache Hadoop YARN, Docker, Atlassian Confluence et Redis dans le cadre d’une campagne de malware émergente conçue pour fournir un mineur de cryptomonnaie et générer un shell inversé pour un accès à distance persistant.
« Les attaquants exploitent ces outils pour émettre du code d’exploitation, tirant parti des erreurs de configuration courantes et exploitant une vulnérabilité de N jours, afin de mener des attaques d’exécution de code à distance (RCE) et d’infecter de nouveaux hôtes », a déclaré Matt Muir, chercheur en sécurité chez Cado. dit dans un rapport partagé avec The Hacker News.
L’activité a été nommée Fil à filer par la société de sécurité cloud, avec des chevauchements d’attaques cloud attribuées à TeamTNT, WatchDog et un cluster baptisé Kiss-a-dog.
Tout commence par le déploiement de quatre nouvelles charges utiles Golang capables d’automatiser l’identification et l’exploitation des hôtes Confluence, Docker, Hadoop YARN et Redis sensibles. Les utilitaires d’épandage exploitent masscan ou pnscan pour rechercher ces services.
« Pour la compromission Docker, les attaquants génèrent un conteneur et s’en échappent sur l’hôte sous-jacent », a expliqué Muir.
L’accès initial ouvre ensuite la voie au déploiement d’outils supplémentaires pour installer des rootkits comme libprocesshider et diamorphine afin de dissimuler les processus malveillants, supprimez le Ornithorynque utilitaire open source de shell inverse, et finalement lancer le mineur XMRig.
« Il est clair que les attaquants investissent beaucoup de temps pour comprendre les types de services Web déployés dans les environnements cloud, se tenir au courant des vulnérabilités signalées dans ces services et utiliser ces connaissances pour prendre pied dans les environnements cibles », a déclaré la société.
Ce développement intervient alors qu’Uptycs a révélé l’exploitation par 8220 Gang des failles de sécurité connues dans Apache Log4j (CVE-2021-44228) et Atlassian Confluence Server and Data Center (CVE-2022-26134) dans le cadre d’une vague d’attaques ciblant l’infrastructure cloud à partir de mai 2023. jusqu’en février 2024.
« En tirant parti des analyses Internet pour les applications vulnérables, le groupe identifie les points d’entrée potentiels dans les systèmes cloud, exploitant les vulnérabilités non corrigées pour obtenir un accès non autorisé », chercheurs en sécurité Tejaswini Sandapolla et Shilpesh Trivedi. dit.
« Une fois à l’intérieur, ils déploient une série de techniques d’évasion avancées, démontrant une profonde compréhension de la façon de naviguer et de manipuler les environnements cloud à leur avantage. Cela inclut la désactivation des mesures de sécurité, la modification des règles de pare-feu et la suppression des services de sécurité cloud, garantissant ainsi leurs activités malveillantes. restent indétectables. »
Les attaques, qui ciblent à la fois les hôtes Windows et Linux, visent à déployer un mineur de cryptomonnaie, mais pas avant d’avoir pris une série de mesures privilégiant la furtivité et l’évasion.
Cela fait également suite à l’abus de services cloud principalement destinés aux solutions d’intelligence artificielle (IA) pour supprimer les mineurs de cryptomonnaie ainsi que pour héberger des logiciels malveillants.
« Le minage et l’IA nécessitant l’accès à de grandes quantités de puissance de traitement GPU, il existe un certain degré de transférabilité vers leurs environnements matériels de base », HiddenLayer noté l’année dernière.
Cado, dans son rapport sur les menaces dans le cloud du deuxième semestre 2023, a noté que les acteurs de la menace ciblent de plus en plus les services cloud qui nécessitent des connaissances techniques spécialisées pour être exploités, et que le cryptojacking n’est plus le seul motif.
« Avec la découverte de nouvelles variantes Linux des familles de ransomwares, telles que Casier des Abyssesil existe une tendance inquiétante aux ransomwares sur les systèmes Linux et ESXi, » dit. « Les infrastructures Cloud et Linux sont désormais soumises à une plus grande variété d’attaques. »