{"id":1128308,"date":"2024-02-01T14:08:27","date_gmt":"2024-02-01T16:08:27","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-api-docker-exposees-sont-attaquees-lors-de-la-campagne-de-cryptojacking-commando-cat\/"},"modified":"2024-02-01T14:08:31","modified_gmt":"2024-02-01T16:08:31","slug":"les-api-docker-exposees-sont-attaquees-lors-de-la-campagne-de-cryptojacking-commando-cat","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-api-docker-exposees-sont-attaquees-lors-de-la-campagne-de-cryptojacking-commando-cat\/","title":{"rendered":"Les API Docker expos\u00e9es sont attaqu\u00e9es lors de la campagne de cryptojacking \u00ab Commando Cat \u00bb"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">01 f\u00e9vrier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cryptojacking \/ S\u00e9curit\u00e9 Linux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Les-API-Docker-exposees-sont-attaquees-lors-de-la-campagne.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les points de terminaison de l&#8217;API Docker expos\u00e9s sur Internet sont attaqu\u00e9s par une campagne sophistiqu\u00e9e de cryptojacking appel\u00e9e <strong>Chat Commando<\/strong>.<\/p>\n<p>&#8220;La campagne d\u00e9ploie un conteneur inoffensif g\u00e9n\u00e9r\u00e9 \u00e0 l&#8217;aide du <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/lukaszlach\/commando\" target=\"_blank\">Projet Commando<\/a>&#8220;, Nate Bill et Matt Muir, chercheurs en s\u00e9curit\u00e9 chez Cado <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/the-nine-lives-of-commando-cat-analysing-a-novel-malware-campaign-targeting-docker\/\" target=\"_blank\">dit<\/a> dans un nouveau rapport publi\u00e9 aujourd&#8217;hui.  &#8220;L&#8217;attaquant <a rel=\"nofollow noopener\" href=\"https:\/\/www.cybereason.com\/blog\/container-escape-all-you-need-is-cap-capabilities\" target=\"_blank\">\u00e9chappe \u00e0 ce conteneur<\/a> et ex\u00e9cute plusieurs charges utiles sur l&#8217;h\u00f4te Docker.&#8221;<\/p>\n<p>On pense que la campagne est active depuis le d\u00e9but de 2024, ce qui en fait la deuxi\u00e8me campagne de ce type d\u00e9couverte en autant de mois.  \u00c0 la mi-janvier, la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud a \u00e9galement mis en lumi\u00e8re un autre cluster d&#8217;activit\u00e9s qui cible les h\u00f4tes Docker vuln\u00e9rables pour d\u00e9ployer le mineur de crypto-monnaie XMRig ainsi que le logiciel 9Hits Viewer.<\/p>\n<p>Commando Cat utilise Docker comme vecteur d&#8217;acc\u00e8s initial pour fournir une collection de charges utiles interd\u00e9pendantes \u00e0 partir d&#8217;un serveur contr\u00f4l\u00e9 par un acteur responsable de l&#8217;enregistrement de la persistance, de la porte d\u00e9rob\u00e9e de l&#8217;h\u00f4te, de l&#8217;exfiltration des informations d&#8217;identification du fournisseur de services cloud (CSP) et du lancement du mineur.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d2\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1705402644_392_Le-logiciel-malveillant-Inferno-deguise-en-Coinbase-a-draine-87.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>L&#8217;avantage obtenu en violant les instances Docker sensibles est ensuite exploit\u00e9 pour d\u00e9ployer un conteneur inoffensif \u00e0 l&#8217;aide de l&#8217;outil open source Commando et ex\u00e9cuter une commande malveillante qui lui permet de s&#8217;\u00e9chapper des limites du conteneur via la commande chroot.<\/p>\n<p>Il ex\u00e9cute \u00e9galement une s\u00e9rie de v\u00e9rifications pour d\u00e9terminer si les services nomm\u00e9s \u00ab sys-kernel-debugger \u00bb, \u00ab gsc \u00bb, \u00ab c3pool_miner \u00bb et \u00ab dockercache \u00bb sont actifs sur le syst\u00e8me compromis, et passe \u00e0 l&#8217;\u00e9tape suivante uniquement si cette \u00e9tape r\u00e9ussit. .<\/p>\n<p>&#8220;Le but de la v\u00e9rification de sys-kernel-debugger n&#8217;est pas clair : ce service n&#8217;est utilis\u00e9 nulle part dans le malware et ne fait pas non plus partie de Linux&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Il est possible que le service fasse partie d&#8217;une autre campagne avec laquelle l&#8217;attaquant ne veut pas rivaliser.&#8221;<\/p>\n<p>La phase suivante implique la suppression de charges utiles suppl\u00e9mentaires du serveur de commande et de contr\u00f4le (C2), y compris une porte d\u00e9rob\u00e9e de script shell (user.sh) capable d&#8217;ajouter une cl\u00e9 SSH au serveur de commande et de contr\u00f4le. <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-configure-ssh-key-based-authentication-on-a-linux-server\" target=\"_blank\">Fichier ~\/.ssh\/authorized_keys<\/a> et cr\u00e9er un utilisateur malveillant nomm\u00e9 \u00ab\u00a0jeux\u00a0\u00bb avec un mot de passe connu de l&#8217;attaquant et l&#8217;inclure dans le <a rel=\"nofollow noopener\" href=\"https:\/\/www.digitalocean.com\/community\/tutorials\/how-to-edit-the-sudoers-file\" target=\"_blank\">Fichier \/etc\/sudoers<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1706803706_871_Les-API-Docker-exposees-sont-attaquees-lors-de-la-campagne.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1706803706_871_Les-API-Docker-exposees-sont-attaquees-lors-de-la-campagne.jpg\" alt=\"Campagne de cryptojacking\" border=\"0\" data-original-height=\"488\" data-original-width=\"728\" title=\"Campagne de cryptojacking\"\/><\/a><\/div>\n<p>Trois autres scripts shell \u2013 tshd.sh, gsc.sh, aws.sh \u2013 sont \u00e9galement fournis de la m\u00eame mani\u00e8re, con\u00e7us pour supprimer Tiny SHell et une version improvis\u00e9e de <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Netcat\" target=\"_blank\">chat net<\/a> appel\u00e9 gs-netcat et exfiltrer les informations d&#8217;identification<\/p>\n<p>Les acteurs de la menace \u00ab ex\u00e9cutent une commande sur le conteneur cmd.cat\/chattr qui r\u00e9cup\u00e8re la charge utile de leur propre infrastructure C2 \u00bb, a d\u00e9clar\u00e9 Muir \u00e0 The Hacker News, notant que cela est r\u00e9alis\u00e9 en utilisant curl ou wget et en acheminant la charge utile r\u00e9sultante directement dans le bash. shell de commande.<\/p>\n<p>&#8220;Au lieu d&#8217;utiliser \/tmp, [gsc.sh] utilise \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/a-peek-behind-the-bpfdoor\" target=\"_blank\">\/dev\/shm<\/a> &#8220;Il s&#8217;agit plut\u00f4t d&#8217;un stockage de fichiers temporaire, mais d&#8217;une m\u00e9moire sauvegard\u00e9e&#8221;, ont d\u00e9clar\u00e9 les chercheurs. &#8220;Il est possible qu&#8217;il s&#8217;agisse d&#8217;un m\u00e9canisme d&#8217;\u00e9vasion, car il est beaucoup plus courant que les logiciels malveillants utilisent \/tmp.&#8221;<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Avertissement-de-nouveaux-logiciels-malveillants-apparaissent-lors-dattaques-exploitant-les.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Cela a \u00e9galement pour cons\u00e9quence que les artefacts ne touchent pas le disque, ce qui rend les analyses judiciaires un peu plus difficiles. Cette technique a d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9e dans BPFdoor \u2013 une technique tr\u00e8s m\u00e9diatis\u00e9e. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/threat-landscape\/how-bpf-enabled-malware-works-bracing-for-emerging-threats\" target=\"_blank\">Campagne Linux<\/a>&#8220;.<\/p>\n<p>L&#8217;attaque aboutit au d\u00e9ploiement d&#8217;une autre charge utile qui est livr\u00e9e directement sous forme de script cod\u00e9 en Base64 au lieu d&#8217;\u00eatre r\u00e9cup\u00e9r\u00e9e \u00e0 partir du serveur C2, qui, \u00e0 son tour, supprime le mineur de crypto-monnaie XMRig, mais pas avant d&#8217;avoir \u00e9limin\u00e9 les processus mineurs concurrents de la machine infect\u00e9e.<\/p>\n<p>Les origines exactes de l&#8217;acteur mena\u00e7ant derri\u00e8re Commando Cat ne sont pas claires pour le moment, bien que les scripts shell et l&#8217;adresse IP C2 se chevauchent avec ceux li\u00e9s \u00e0 des groupes de cryptojacking comme TeamTNT dans le pass\u00e9, ce qui soul\u00e8ve la possibilit\u00e9 qu&#8217;il s&#8217;agisse d&#8217;un groupe copieur. .<\/p>\n<p>&#8220;Le malware fonctionne \u00e0 la fois comme un voleur d&#8217;informations d&#8217;identification, une porte d\u00e9rob\u00e9e hautement furtive et un mineur de cryptomonnaie&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Cela le rend polyvalent et capable d&#8217;extraire autant de valeur que possible des machines infect\u00e9es.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/exposed-docker-apis-under-attack-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80201 f\u00e9vrier 2024\ue804R\u00e9dactionCryptojacking \/ S\u00e9curit\u00e9 Linux Les points de terminaison de l&#8217;API Docker expos\u00e9s sur Internet sont attaqu\u00e9s par une campagne sophistiqu\u00e9e de cryptojacking appel\u00e9e Chat Commando. &#8220;La campagne d\u00e9ploie un conteneur inoffensif g\u00e9n\u00e9r\u00e9 \u00e0 l&#8217;aide du Projet Commando&#8220;, Nate Bill et Matt Muir, chercheurs en s\u00e9curit\u00e9 chez Cado dit dans un nouveau rapport publi\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1128309,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,43650,43273,2930,23853,78744,4168,119982,4165,4161,200267,26675,6855,4159,4171,65,200271,320,200268,200269,200270,128318,4172,4169,317,4166,4164],"class_list":["post-1128308","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-api","tag-attaquees","tag-campagne","tag-cat","tag-commando","tag-comment-pirater","tag-cryptojacking","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-docker","tag-exposees","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-lors","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-sont","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1128308","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1128308"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1128308\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1128309"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1128308"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1128308"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1128308"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}