{"id":1016358,"date":"2023-11-14T14:32:52","date_gmt":"2023-11-14T16:32:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/alerte-le-botnet-ddos-oracleiv-cible-les-api-du-moteur-docker-public-pour-detourner-les-conteneurs\/"},"modified":"2023-11-14T14:32:56","modified_gmt":"2023-11-14T16:32:56","slug":"alerte-le-botnet-ddos-oracleiv-cible-les-api-du-moteur-docker-public-pour-detourner-les-conteneurs","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/alerte-le-botnet-ddos-oracleiv-cible-les-api-du-moteur-docker-public-pour-detourner-les-conteneurs\/","title":{"rendered":"Alerte\u00a0: le botnet DDoS OracleIV cible les API du moteur Docker public pour d\u00e9tourner les conteneurs"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">14 novembre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 du cloud\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Alerte-le-botnet-DDoS-OracleIV-cible-les-API-du-moteur.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les instances de l&#8217;API Docker Engine accessibles au public sont cibl\u00e9es par des acteurs malveillants dans le cadre d&#8217;une campagne con\u00e7ue pour coopter les machines dans un botnet par d\u00e9ni de service distribu\u00e9 (DDoS) baptis\u00e9 <strong>OracleIV<\/strong>.<\/p>\n<p>&#8220;Les attaquants exploitent cette mauvaise configuration pour livrer un conteneur Docker malveillant, construit \u00e0 partir d&#8217;une image nomm\u00e9e &#8216;oracleiv_latest&#8217; et contenant un malware Python compil\u00e9 en tant qu&#8217;ex\u00e9cutable ELF&#8221;, ont d\u00e9clar\u00e9 Nate Bill et Matt Muir, chercheurs de Cado. <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/oracleiv-a-dockerised-ddos-botnet\/\" target=\"_blank\">dit<\/a>.<\/p>\n<p>L&#8217;activit\u00e9 malveillante commence lorsque les attaquants utilisent une requ\u00eate HTTP POST \u00e0 \u200b\u200bl&#8217;API de Docker pour r\u00e9cup\u00e9rer une image malveillante de Docker Hub, qui, \u00e0 son tour, ex\u00e9cute une commande pour r\u00e9cup\u00e9rer un script shell (oracle.sh) \u00e0 partir d&#8217;un syst\u00e8me de commande et de contr\u00f4le (C&#038;C ) serveur.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/hub.docker.com\/r\/robbertignacio328832\/oracleiv_latest\" target=\"_blank\">Oracleiv_latest<\/a> pr\u00e9tend \u00eatre une image MySQL pour Docker et a \u00e9t\u00e9 extraite 3 500 fois \u00e0 ce jour.  Dans une tournure peut-\u00eatre pas si surprenante, l&#8217;image comprend \u00e9galement des instructions suppl\u00e9mentaires pour r\u00e9cup\u00e9rer un mineur XMRig et sa configuration \u00e0 partir du m\u00eame serveur.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/4WnFxcNN\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Les-experts-mettent-en-garde-contre-les-pirates-de-ransomware.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela dit, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud a d\u00e9clar\u00e9 qu\u2019elle n\u2019avait observ\u00e9 aucune preuve d\u2019extraction de cryptomonnaie effectu\u00e9e par le conteneur contrefait.  Le script shell, en revanche, est concis et int\u00e8gre des fonctions permettant de mener des attaques DDoS telles que <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/ddos-attack-tools\/slowloris\/\" target=\"_blank\">slowloris<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/syn-flood-ddos-attack\/\" target=\"_blank\">Inondations SYN<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/www.cloudflare.com\/learning\/ddos\/udp-flood-ddos-attack\/\" target=\"_blank\">Inondations UDP<\/a>.<\/p>\n<p>Les instances Docker expos\u00e9es sont devenues une cible d\u2019attaque lucrative ces derni\u00e8res ann\u00e9es, souvent utilis\u00e9es comme canal pour des campagnes de cryptojacking.<\/p>\n<p>&#8220;Une fois qu&#8217;un point final valide est d\u00e9couvert, il est trivial d&#8217;extraire une image malveillante et de lancer un conteneur \u00e0 partir de celle-ci pour atteindre n&#8217;importe quel objectif imaginable&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;h\u00e9bergement du conteneur malveillant dans Docker Hub, la biblioth\u00e8que d&#8217;images de conteneurs de Docker, rationalise encore davantage ce processus.&#8221;<\/p>\n<p>Il ne s&#8217;agit pas seulement de Docker, car les serveurs MySQL vuln\u00e9rables sont devenus la cible d&#8217;un autre malware botnet DDoS connu sous le nom de Ddostf, selon l&#8217;AhnLab Security Emergency Response Center (ASEC).<\/p>\n<p>&#8220;Bien que la plupart des commandes prises en charge par Ddostf soient similaires \u00e0 celles des robots DDoS classiques, une caract\u00e9ristique distinctive de Ddostf est sa capacit\u00e9 \u00e0 se connecter \u00e0 une adresse nouvellement re\u00e7ue du serveur C&#038;C et \u00e0 y ex\u00e9cuter des commandes pendant une certaine p\u00e9riode&#8221;, ASEC <a rel=\"nofollow noopener\" href=\"https:\/\/asec.ahnlab.com\/en\/58878\/\" target=\"_blank\">dit<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699979571_772_Alerte-le-botnet-DDoS-OracleIV-cible-les-API-du-moteur.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/1699979571_772_Alerte-le-botnet-DDoS-OracleIV-cible-les-API-du-moteur.jpg\" alt=\"Serveurs MySQL\" border=\"0\" data-original-height=\"319\" data-original-width=\"728\" title=\"Serveurs MySQL\"\/><\/a><\/div>\n<p>&#8220;Seules les commandes DDoS peuvent \u00eatre ex\u00e9cut\u00e9es sur le nouveau serveur C&#038;C. Cela implique que l&#8217;acteur malveillant Ddostf peut infecter de nombreux syst\u00e8mes et ensuite vendre des attaques DDoS en tant que service.&#8221;<\/p>\n<p>Ce qui aggrave encore les choses est l&#8217;\u00e9mergence de plusieurs nouveaux botnets DDoS, tels que hailBot, kiraiBot et catDDoS, bas\u00e9s sur <a rel=\"nofollow noopener\" href=\"https:\/\/www.wired.com\/story\/mirai-untold-story-three-young-hackers-web-killing-monster\/\" target=\"_blank\">Mirai<\/a>dont le code source a \u00e9t\u00e9 divulgu\u00e9 en 2016.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pjHvTZON\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/11\/Turla-met-a-jour-la-porte-derobee-Kazuar-avec-une.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Ces chevaux de Troie nouvellement d\u00e9velopp\u00e9s introduisent de nouveaux algorithmes de cryptage pour masquer les informations critiques ou mieux se cachent en modifiant le processus de mise en service et en concevant des m\u00e9thodes de communication plus secr\u00e8tes&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 NSFOCUS. <a rel=\"nofollow noopener\" href=\"https:\/\/nsfocusglobal.com\/mirai-botnets-new-wave-hailbot-kiraibot-catddos-and-their-fierce-onslaught\/\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> le mois dernier.<\/p>\n<p>Un autre malware DDoS qui a refait surface cette ann\u00e9e est XorDdos, qui infecte les appareils Linux et les \u00ab transforme en zombies \u00bb pour des attaques DDoS ult\u00e9rieures contre des cibles d&#8217;int\u00e9r\u00eat.<\/p>\n<p>L&#8217;unit\u00e9 42 de Palo Alto Networks a d\u00e9clar\u00e9 que la campagne avait d\u00e9but\u00e9 fin juillet 2023, avant de culminer vers le 12 ao\u00fbt 2023.<\/p>\n<p>&#8220;Avant que les logiciels malveillants ne r\u00e9ussissent \u00e0 infiltrer un appareil, les attaquants ont lanc\u00e9 un processus d&#8217;analyse, en utilisant des requ\u00eates HTTP pour identifier les vuln\u00e9rabilit\u00e9s potentielles de leurs cibles&#8221;, explique la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/unit42.paloaltonetworks.com\/new-linux-xorddos-trojan-campaign-delivers-malware\/\" target=\"_blank\">not\u00e9<\/a>.  &#8220;Pour \u00e9chapper \u00e0 la d\u00e9tection, la menace transforme son processus en un service d&#8217;arri\u00e8re-plan qui s&#8217;ex\u00e9cute ind\u00e9pendamment de la session utilisateur en cours.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/alert-oracleiv-ddos-botnet-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80214 novembre 2023\ue804R\u00e9dactionS\u00e9curit\u00e9 du cloud\/logiciels malveillants Les instances de l&#8217;API Docker Engine accessibles au public sont cibl\u00e9es par des acteurs malveillants dans le cadre d&#8217;une campagne con\u00e7ue pour coopter les machines dans un botnet par d\u00e9ni de service distribu\u00e9 (DDoS) baptis\u00e9 OracleIV. &#8220;Les attaquants exploitent cette mauvaise configuration pour livrer un conteneur Docker malveillant, construit [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1016359,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,4747,43650,5464,7087,4168,25829,4165,4161,200267,2890,31219,26675,4159,4171,65,200271,200268,22712,200269,200270,214783,185,778,128318,4172,4169,4166,4164],"class_list":["post-1016358","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-alerte","tag-api","tag-botnet","tag-cible","tag-comment-pirater","tag-conteneurs","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-ddos","tag-detourner","tag-docker","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-moteur","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-oracleiv","tag-pour","tag-public","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1016358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1016358"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1016358\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1016359"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1016358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1016358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1016358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}