{"id":1196311,"date":"2024-06-12T13:58:52","date_gmt":"2024-06-12T15:58:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/une-campagne-de-cryptojacking-cible-les-clusters-kubernetes-mal-configures\/"},"modified":"2024-06-12T13:58:56","modified_gmt":"2024-06-12T15:58:56","slug":"une-campagne-de-cryptojacking-cible-les-clusters-kubernetes-mal-configures","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/une-campagne-de-cryptojacking-cible-les-clusters-kubernetes-mal-configures\/","title":{"rendered":"Une campagne de cryptojacking cible les clusters Kubernetes mal configur\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Kubernetes \/ S\u00e9curit\u00e9 des points de terminaison<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Une-campagne-de-cryptojacking-cible-les-clusters-Kubernetes-mal-configures.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont mis en garde contre une campagne de cryptojacking en cours ciblant les clusters Kubernetes mal configur\u00e9s pour exploiter la crypto-monnaie Dero.<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Wiz, qui a fait la lumi\u00e8re sur cette activit\u00e9, a d\u00e9clar\u00e9 qu&#8217;il s&#8217;agissait d&#8217;une variante mise \u00e0 jour d&#8217;une op\u00e9ration \u00e0 motivation financi\u00e8re qui a \u00e9t\u00e9 document\u00e9e pour la premi\u00e8re fois par CrowdStrike en mars 2023.<\/p>\n<p>&#8220;Dans cet incident, l&#8217;auteur de la menace a abus\u00e9 de l&#8217;acc\u00e8s anonyme \u00e0 un cluster connect\u00e9 \u00e0 Internet pour lancer des images de conteneurs malveillants h\u00e9berg\u00e9s sur Docker Hub, dont certains ont plus de 10 000 extractions&#8221;, ont d\u00e9clar\u00e9 les chercheurs de Wiz Avigayil Mechtinger, Shay Berkovich et Gili Tikochinski. <a rel=\"nofollow noopener\" href=\"https:\/\/www.wiz.io\/blog\/dero-cryptojacking-campaign-adapts-to-evade-detection\" target=\"_blank\">dit<\/a>.  &#8220;Ces images Docker contiennent un mineur DERO pack\u00e9 UPX nomm\u00e9 &#8216;pause&#8217;.&#8221;<\/p>\n<p>L&#8217;acc\u00e8s initial est r\u00e9alis\u00e9 en ciblant les serveurs API Kubernetes accessibles en externe avec une authentification anonyme activ\u00e9e pour fournir les charges utiles du mineur.<\/p>\n<p>Contrairement \u00e0 la version 2023 qui d\u00e9ployait un DaemonSet Kubernetes nomm\u00e9 \u00ab proxy-api \u00bb, la derni\u00e8re version utilise des DaemonSets apparemment inoffensifs appel\u00e9s \u00ab k8s-device-plugin \u00bb et \u00ab pytorch-container \u00bb pour finalement ex\u00e9cuter le mineur sur tous les n\u0153uds du cluster. .<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>De plus, l&#8217;id\u00e9e derri\u00e8re le nom du conteneur \u00ab\u00a0pause\u00a0\u00bb est une tentative de se faire passer pour le <a rel=\"nofollow noopener\" href=\"https:\/\/kubernetes.io\/docs\/concepts\/windows\/intro\/#pause-container\" target=\"_blank\">conteneur &#8220;pause&#8221; r\u00e9el<\/a> qui est utilis\u00e9 pour amorcer un pod et appliquer l&#8217;isolation du r\u00e9seau.<\/p>\n<p>Le mineur de crypto-monnaie est un binaire open source \u00e9crit en Go qui a \u00e9t\u00e9 modifi\u00e9 pour coder en dur l&#8217;adresse du portefeuille et les URL personnalis\u00e9es du pool de minage Dero.  Il est \u00e9galement obscurci \u00e0 l&#8217;aide de l&#8217;open source <a rel=\"nofollow noopener\" href=\"https:\/\/upx.github.io\/\" target=\"_blank\">Emballeur UPX<\/a> r\u00e9sister \u00e0 l\u2019analyse.<\/p>\n<p>L&#8217;id\u00e9e principale est qu&#8217;en int\u00e9grant la configuration de minage dans le code, il est possible d&#8217;ex\u00e9cuter le mineur sans aucun argument de ligne de commande qui est g\u00e9n\u00e9ralement surveill\u00e9 par des m\u00e9canismes de s\u00e9curit\u00e9.<\/p>\n<p>Wiz a d\u00e9clar\u00e9 avoir identifi\u00e9 des outils suppl\u00e9mentaires d\u00e9velopp\u00e9s par l&#8217;acteur malveillant, notamment un \u00e9chantillon Windows d&#8217;un mineur Dero contenant UPX ainsi qu&#8217;un script shell dropper con\u00e7u pour mettre fin aux processus mineurs concurrents sur un h\u00f4te infect\u00e9 et supprimer <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/develsoftware\/GMinerRelease\" target=\"_blank\">GMineur<\/a> depuis GitHub.<\/p>\n<p>&#8220;[The attacker] &#8220;Des domaines enregistr\u00e9s avec des noms d&#8217;apparence innocente pour \u00e9viter d&#8217;\u00e9veiller des soup\u00e7ons et pour mieux se fondre dans le trafic Web l\u00e9gitime, tout en masquant la communication avec des pools miniers par ailleurs bien connus&#8221;, ont d\u00e9clar\u00e9 les chercheurs.<\/p>\n<p>&#8220;Ces tactiques combin\u00e9es d\u00e9montrent les efforts continus de l&#8217;attaquant pour adapter ses m\u00e9thodes et garder une longueur d&#8217;avance sur les d\u00e9fenseurs.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/cryptojacking-campaign-targets.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 juin 2024\ue804R\u00e9dactionKubernetes \/ S\u00e9curit\u00e9 des points de terminaison Les chercheurs en cybers\u00e9curit\u00e9 ont mis en garde contre une campagne de cryptojacking en cours ciblant les clusters Kubernetes mal configur\u00e9s pour exploiter la crypto-monnaie Dero. La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Wiz, qui a fait la lumi\u00e8re sur cette activit\u00e9, a d\u00e9clar\u00e9 qu&#8217;il s&#8217;agissait d&#8217;une variante [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1196312,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,2930,7087,137910,4168,149319,119982,4165,4161,200267,30045,4159,4171,65,200271,376,200268,200269,200270,128318,4172,4169,196,4166,4164],"class_list":["post-1196311","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-campagne","tag-cible","tag-clusters","tag-comment-pirater","tag-configures","tag-cryptojacking","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-kubernetes","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mal","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1196311"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1196311\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1196312"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1196311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1196311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1196311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}