LemonDuck, un botnet d’extraction de crypto-monnaie multiplateforme, cible Docker pour exploiter la crypto-monnaie sur les syst\u00e8mes Linux dans le cadre d’une campagne active de logiciels malveillants.<\/p>\n
“Il ex\u00e9cute une op\u00e9ration mini\u00e8re anonyme en utilisant des pools de proxy, qui cachent les adresses de portefeuille”, CrowdStrike mentionn\u00e9<\/a> dans un nouveau rapport. “Il \u00e9chappe \u00e0 la d\u00e9tection en ciblant le service de surveillance d’Alibaba Cloud et en le d\u00e9sactivant.”<\/p>\n Connu pour frapper les environnements Windows et Linux, LemonDuck est principalement con\u00e7u pour abuser des ressources syst\u00e8me pour exploiter Monero. Mais il est \u00e9galement capable de voler des identifiants, de se d\u00e9placer lat\u00e9ralement et de faciliter le d\u00e9ploiement de charges utiles suppl\u00e9mentaires pour les activit\u00e9s de suivi.<\/p>\n “Il utilise un large \u00e9ventail de m\u00e9canismes de propagation – e-mails de phishing, exploits, p\u00e9riph\u00e9riques USB, force brute, entre autres – et il a montr\u00e9 qu’il peut rapidement tirer parti des actualit\u00e9s, des \u00e9v\u00e9nements ou de la publication de nouveaux exploits pour mener des campagnes efficaces, ” Microsoft a d\u00e9taill\u00e9 dans une description technique du malware en juillet dernier. <\/p>\n D\u00e9but 2021, des cha\u00eenes d’attaque impliquant LemonDuck \u00e0 effet de levier<\/a> les vuln\u00e9rabilit\u00e9s d’Exchange Server nouvellement corrig\u00e9es pour acc\u00e9der \u00e0 des machines Windows obsol\u00e8tes, avant de t\u00e9l\u00e9charger des portes d\u00e9rob\u00e9es et des voleurs d’informations, y compris Ramnit.<\/p>\n La derni\u00e8re campagne rep\u00e9r\u00e9e par CrowdStrike tire parti des API Docker expos\u00e9es comme vecteur d’acc\u00e8s initial, en les utilisant pour ex\u00e9cuter un conteneur malveillant afin de r\u00e9cup\u00e9rer un fichier de script shell Bash d\u00e9guis\u00e9 en fichier image PNG inoffensif \u00e0 partir d’un serveur distant.<\/p>\n Une analyse des donn\u00e9es historiques montre que des droppers de fichiers d’images similaires h\u00e9berg\u00e9s sur des domaines associ\u00e9s \u00e0 LemonDuck ont \u200b\u200b\u00e9t\u00e9 utilis\u00e9s par l’acteur de la menace depuis au moins janvier 2021, a not\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9.<\/p>\n Les fichiers de compte-gouttes sont essentiels pour lancer l’attaque, le script shell t\u00e9l\u00e9chargeant la charge utile r\u00e9elle qui tue ensuite les processus concurrents, d\u00e9sactive les services de surveillance d’Alibaba Cloud, et enfin t\u00e9l\u00e9charge et ex\u00e9cute le mineur de pi\u00e8ces XMRig.<\/p>\n Alors que les instances cloud compromises deviennent un foyer pour les activit\u00e9s illicites d’extraction de crypto-monnaie, les r\u00e9sultats soulignent la n\u00e9cessit\u00e9 de prot\u00e9ger les conteneurs contre les risques potentiels tout au long de la cha\u00eene d’approvisionnement logicielle.<\/p>\n La divulgation intervient alors que Cisco Talos a expos\u00e9 l’ensemble d’outils d’un groupe de cybercriminalit\u00e9 nomm\u00e9 TeamTNT, qui a l’habitude de cibler l’infrastructure cloud pour le cryptojacking et de placer des portes d\u00e9rob\u00e9es.<\/p>\n Les charges utiles des logiciels malveillants, qui auraient \u00e9t\u00e9 modifi\u00e9es en r\u00e9ponse \u00e0 divulgations publiques ant\u00e9rieures<\/a>sont principalement con\u00e7us pour cibler Amazon Web Services (AWS) tout en se concentrant simultan\u00e9ment sur l’extraction de crypto-monnaie, la persistance, le mouvement lat\u00e9ral et la d\u00e9sactivation des solutions de s\u00e9curit\u00e9 cloud.<\/p>\n “Les cybercriminels qui sont d\u00e9masqu\u00e9s par des chercheurs en s\u00e9curit\u00e9 doivent mettre \u00e0 jour leurs outils afin de continuer \u00e0 fonctionner avec succ\u00e8s”, a d\u00e9clar\u00e9 Darin Smith, chercheur chez Talos. mentionn\u00e9<\/a>.<\/p>\n “Les outils utilis\u00e9s par TeamTNT d\u00e9montrent que les cybercriminels sont de plus en plus \u00e0 l’aise pour attaquer des environnements modernes tels que Docker, Kubernetes et les fournisseurs de cloud public, qui ont traditionnellement \u00e9t\u00e9 \u00e9vit\u00e9s par d’autres cybercriminels qui se sont plut\u00f4t concentr\u00e9s sur des environnements sur site ou mobiles.”<\/p>\n Ce n’est pas tout. Dans un autre exemple de la fa\u00e7on dont les acteurs de la menace cooptent rapidement les failles nouvellement r\u00e9v\u00e9l\u00e9es dans leurs attaques, le bogue critique d’ex\u00e9cution de code \u00e0 distance dans Spring Framework (CVE-2022-22965) a \u00e9t\u00e9 arm\u00e9 pour d\u00e9ployer des mineurs de crypto-monnaie.<\/p>\n Les tentatives d’exploitation utilisent un shell Web personnalis\u00e9 pour d\u00e9ployer les mineurs de crypto-monnaie, mais pas avant de d\u00e9sactiver le pare-feu et de mettre fin aux autres processus de mineur de monnaie virtuelle.<\/p>\n “Ces mineurs de crypto-monnaie ont le potentiel d’affecter un grand nombre d’utilisateurs, d’autant plus que Spring est le framework le plus largement utilis\u00e9 pour d\u00e9velopper des applications d’entreprise en Java”, ont d\u00e9clar\u00e9 les chercheurs de Trend Micro, Nitesh Surana et Ashish Verma. mentionn\u00e9<\/a>.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1646124018_583_Le-logiciel-malveillant-Daxin-lie-a-la-Chine-a-cible.png\")
<\/a><\/div>\n![\"botnet](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEgnepqytFGyLXQ-se6LSQbD8dcaKtmXDuAVuPCd_sPXu7Yx48Lz-oOWavHaLTuVfJs51onI2dx2vm_sbhMbEMBmlmxd2VKQlwVynElKDwR3CU4NPjtYhIE7eAKStI5X-t0n_wmahvr1LKomSVvdEsfaiHUYHz1dDW2dYzUEwbyQLlaW27yosLkpLVHy\/s728-e1000\/docker.jpg\" "\\"botnet")
<\/div>\nTeamTNT cible AWS, Alibaba Cloud<\/h3>\n
![\"botnet](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650621455_427_Fais-attention-Mineurs-de-crypto-monnaie-ciblant-Dockers-AWS-et-Alibaba.jpg\" "\\"botnet")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\nSpring4Shell exploit\u00e9 pour le minage de crypto-monnaie<\/h3>\n