Les acteurs malveillants ciblent les serveurs mal configur\u00e9s et vuln\u00e9rables ex\u00e9cutant les services Apache Hadoop YARN, Docker, Atlassian Confluence et Redis dans le cadre d’une campagne de malware \u00e9mergente con\u00e7ue pour fournir un mineur de cryptomonnaie et g\u00e9n\u00e9rer un shell invers\u00e9 pour un acc\u00e8s \u00e0 distance persistant.<\/p>\n
“Les attaquants exploitent ces outils pour \u00e9mettre du code d’exploitation, tirant parti des erreurs de configuration courantes et exploitant une vuln\u00e9rabilit\u00e9 de N jours, afin de mener des attaques d’ex\u00e9cution de code \u00e0 distance (RCE) et d’infecter de nouveaux h\u00f4tes”, a d\u00e9clar\u00e9 Matt Muir, chercheur en s\u00e9curit\u00e9 chez Cado. dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n L’activit\u00e9 a \u00e9t\u00e9 nomm\u00e9e Fil \u00e0 filer<\/strong> par la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud, avec des chevauchements d’attaques cloud attribu\u00e9es \u00e0 TeamTNT, WatchDog et un cluster baptis\u00e9 Kiss-a-dog.<\/p>\n Tout commence par le d\u00e9ploiement de quatre nouvelles charges utiles Golang capables d’automatiser l’identification et l’exploitation des h\u00f4tes Confluence, Docker, Hadoop YARN et Redis sensibles. Les utilitaires d’\u00e9pandage exploitent masscan ou pnscan pour rechercher ces services.<\/p>\n “Pour la compromission Docker, les attaquants g\u00e9n\u00e8rent un conteneur et s’en \u00e9chappent sur l’h\u00f4te sous-jacent”, a expliqu\u00e9 Muir.<\/p>\n L’acc\u00e8s initial ouvre ensuite la voie au d\u00e9ploiement d’outils suppl\u00e9mentaires pour installer des rootkits comme libprocesshider et diamorphine afin de dissimuler les processus malveillants, supprimez le Ornithorynque<\/a> utilitaire open source de shell inverse, et finalement lancer le mineur XMRig.<\/p>\n “Il est clair que les attaquants investissent beaucoup de temps pour comprendre les types de services Web d\u00e9ploy\u00e9s dans les environnements cloud, se tenir au courant des vuln\u00e9rabilit\u00e9s signal\u00e9es dans ces services et utiliser ces connaissances pour prendre pied dans les environnements cibles”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n Ce d\u00e9veloppement intervient alors qu’Uptycs a r\u00e9v\u00e9l\u00e9 l’exploitation par 8220 Gang des failles de s\u00e9curit\u00e9 connues dans Apache Log4j (CVE-2021-44228) et Atlassian Confluence Server and Data Center (CVE-2022-26134) dans le cadre d’une vague d’attaques ciblant l’infrastructure cloud \u00e0 partir de mai 2023. jusqu\u2019en f\u00e9vrier 2024.<\/p>\n “En tirant parti des analyses Internet pour les applications vuln\u00e9rables, le groupe identifie les points d’entr\u00e9e potentiels dans les syst\u00e8mes cloud, exploitant les vuln\u00e9rabilit\u00e9s non corrig\u00e9es pour obtenir un acc\u00e8s non autoris\u00e9”, chercheurs en s\u00e9curit\u00e9 Tejaswini Sandapolla et Shilpesh Trivedi. dit<\/a>.<\/p>\n \u00ab Une fois \u00e0 l’int\u00e9rieur, ils d\u00e9ploient une s\u00e9rie de techniques d’\u00e9vasion avanc\u00e9es, d\u00e9montrant une profonde compr\u00e9hension de la fa\u00e7on de naviguer et de manipuler les environnements cloud \u00e0 leur avantage. Cela inclut la d\u00e9sactivation des mesures de s\u00e9curit\u00e9, la modification des r\u00e8gles de pare-feu et la suppression des services de s\u00e9curit\u00e9 cloud, garantissant ainsi leurs activit\u00e9s malveillantes. restent ind\u00e9tectables. \u00bb<\/p>\n Les attaques, qui ciblent \u00e0 la fois les h\u00f4tes Windows et Linux, visent \u00e0 d\u00e9ployer un mineur de cryptomonnaie, mais pas avant d’avoir pris une s\u00e9rie de mesures privil\u00e9giant la furtivit\u00e9 et l’\u00e9vasion.<\/p>\n Cela fait \u00e9galement suite \u00e0 l\u2019abus de services cloud principalement destin\u00e9s aux solutions d\u2019intelligence artificielle (IA) pour supprimer les mineurs de cryptomonnaie ainsi que pour h\u00e9berger des logiciels malveillants.<\/p>\n “Le minage et l’IA n\u00e9cessitant l’acc\u00e8s \u00e0 de grandes quantit\u00e9s de puissance de traitement GPU, il existe un certain degr\u00e9 de transf\u00e9rabilit\u00e9 vers leurs environnements mat\u00e9riels de base”, HiddenLayer not\u00e9<\/a> l’ann\u00e9e derni\u00e8re.<\/p>\n Cado, dans son rapport sur les menaces dans le cloud du deuxi\u00e8me semestre 2023, a not\u00e9 que les acteurs de la menace ciblent de plus en plus les services cloud qui n\u00e9cessitent des connaissances techniques sp\u00e9cialis\u00e9es pour \u00eatre exploit\u00e9s, et que le cryptojacking n’est plus le seul motif.<\/p>\n “Avec la d\u00e9couverte de nouvelles variantes Linux des familles de ransomwares, telles que Casier des Abysses<\/a>il existe une tendance inqui\u00e9tante aux ransomwares sur les syst\u00e8mes Linux et ESXi,” dit<\/a>. “Les infrastructures Cloud et Linux sont d\u00e9sormais soumises \u00e0 une plus grande vari\u00e9t\u00e9 d’attaques.”<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/03\/Les-pirates-exploitent-les-serveurs-YARN-Docker-Confluence-et-Redis.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n