{"id":1197060,"date":"2024-06-13T02:46:52","date_gmt":"2024-06-13T04:46:52","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-attaques-de-cryptojacking-commando-cat-ciblent-les-instances-docker-mal-configurees\/"},"modified":"2024-06-13T02:46:56","modified_gmt":"2024-06-13T04:46:56","slug":"les-attaques-de-cryptojacking-commando-cat-ciblent-les-instances-docker-mal-configurees","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-attaques-de-cryptojacking-commando-cat-ciblent-les-instances-docker-mal-configurees\/","title":{"rendered":"Les attaques de cryptojacking Commando Cat ciblent les instances Docker mal configur\u00e9es"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Cryptojacking \/ Vuln\u00e9rabilit\u00e9<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Les-attaques-de-cryptojacking-Commando-Cat-ciblent-les-instances-Docker.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur mena\u00e7ant connu sous le nom de <strong>Chat Commando<\/strong> a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne d&#8217;attaque de cryptojacking en cours qui exploite des instances Docker mal s\u00e9curis\u00e9es pour d\u00e9ployer des mineurs de cryptomonnaie \u00e0 des fins financi\u00e8res.<\/p>\n<p>&#8220;Les attaquants ont utilis\u00e9 le conteneur d&#8217;images Docker cmd.cat\/chattr qui r\u00e9cup\u00e8re la charge utile de leur propre infrastructure de commande et de contr\u00f4le (C&#038;C),&#8221; Sunil Bharti et Shubham Singh, chercheurs de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_no\/research\/24\/f\/commando-cat-a-novel-cryptojacking-attack-.html\" target=\"_blank\">dit<\/a> dans une analyse de jeudi.<\/p>\n<p>Commando Cat, ainsi nomm\u00e9 pour son utilisation du projet open source Commando pour g\u00e9n\u00e9rer un conteneur inoffensif, a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois plus t\u00f4t cette ann\u00e9e par Cado Security.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v4\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718014063_881_Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Les attaques se caract\u00e9risent par le ciblage de serveurs API distants Docker mal configur\u00e9s pour d\u00e9ployer une image Docker nomm\u00e9e cmd.cat\/chattr, qui est ensuite utilis\u00e9e comme base pour instancier un conteneur et sortir de ses limites \u00e0 l&#8217;aide de la commande chroot, et obtenir l&#8217;acc\u00e8s. au syst\u00e8me d\u2019exploitation h\u00f4te.<\/p>\n<p>La derni\u00e8re \u00e9tape consiste \u00e0 r\u00e9cup\u00e9rer le binaire du mineur malveillant \u00e0 l&#8217;aide d&#8217;une commande curl ou wget depuis un serveur C&#038;C (&#8220;leetdbs.anondns[.]net\/z&#8221;) au moyen d&#8217;un script shell. Le binaire est soup\u00e7onn\u00e9 d&#8217;\u00eatre ZiggyStarTux, un robot IRC open source bas\u00e9 sur le malware Kaiten (alias Tsunami).<\/p>\n<p>&#8220;L&#8217;importance de cette campagne d&#8217;attaque r\u00e9side dans l&#8217;utilisation d&#8217;images Docker pour d\u00e9ployer des scripts de cryptojacking sur des syst\u00e8mes compromis&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Cette tactique permet aux attaquants d&#8217;exploiter les vuln\u00e9rabilit\u00e9s des configurations Docker tout en \u00e9chappant \u00e0 la d\u00e9tection par les logiciels de s\u00e9curit\u00e9.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718254010_768_Les-attaques-de-cryptojacking-Commando-Cat-ciblent-les-instances-Docker.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718254010_768_Les-attaques-de-cryptojacking-Commando-Cat-ciblent-les-instances-Docker.png\" alt=\"Instances Docker mal configur\u00e9es\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Instances Docker mal configur\u00e9es\"\/><\/a><\/div>\n<p>Cette divulgation intervient alors qu&#8217;Akamai a r\u00e9v\u00e9l\u00e9 que des failles de s\u00e9curit\u00e9 vieilles de plusieurs ann\u00e9es dans les applications ThinkPHP (par exemple, <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2018-20062\" target=\"_blank\">CVE-2018-20062<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/cve-2019-9082\" target=\"_blank\">CVE-2019-9082<\/a>) sont exploit\u00e9s par un acteur mena\u00e7ant pr\u00e9sum\u00e9 parlant chinois pour diffuser un shell Web baptis\u00e9 Dama dans le cadre d&#8217;une campagne en cours depuis le 17 octobre 2023.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718254011_503_Les-attaques-de-cryptojacking-Commando-Cat-ciblent-les-instances-Docker.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718254011_503_Les-attaques-de-cryptojacking-Commando-Cat-ciblent-les-instances-Docker.png\" alt=\"failles de s\u00e9curit\u00e9 dans ThinkPHP\" border=\"0\" data-original-height=\"509\" data-original-width=\"728\" title=\"failles de s\u00e9curit\u00e9 dans ThinkPHP\"\/><\/a><\/div>\n<p>&#8220;L&#8217;exploit tente de r\u00e9cup\u00e9rer du code obscurci suppl\u00e9mentaire \u00e0 partir d&#8217;un autre serveur ThinkPHP compromis pour prendre pied initialement&#8221;, ont d\u00e9clar\u00e9 les chercheurs d&#8217;Akamai, Ron Mankivsky et Maxim Zavodchik. <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security-research\/2024-thinkphp-applications-exploit-1-days-dama-webshell\" target=\"_blank\">dit<\/a>.  &#8220;Apr\u00e8s avoir exploit\u00e9 le syst\u00e8me avec succ\u00e8s, les attaquants installeront un shell Web en chinois nomm\u00e9 Dama pour maintenir un acc\u00e8s persistant au serveur.&#8221;<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Le shell Web est \u00e9quip\u00e9 de plusieurs fonctionnalit\u00e9s avanc\u00e9es pour collecter des donn\u00e9es syst\u00e8me, t\u00e9l\u00e9charger des fichiers, analyser les ports r\u00e9seau, \u00e9lever les privil\u00e8ges et naviguer dans le syst\u00e8me de fichiers, cette derni\u00e8re permettant aux acteurs malveillants d&#8217;effectuer des op\u00e9rations telles que l&#8217;\u00e9dition, la suppression et la modification de l&#8217;horodatage des fichiers. \u00e0 des fins d\u2019obscurcissement.<\/p>\n<p>&#8220;Les r\u00e9centes attaques lanc\u00e9es par un adversaire parlant chinois mettent en \u00e9vidence une tendance actuelle des attaquants \u00e0 utiliser un shell Web \u00e0 part enti\u00e8re, con\u00e7u pour un contr\u00f4le avanc\u00e9 des victimes&#8221;, ont not\u00e9 les chercheurs.  \u00ab\u00a0Il est int\u00e9ressant de noter que tous les clients cibl\u00e9s n&#8217;utilisaient pas ThinkPHP, ce qui sugg\u00e8re que les attaquants pourraient cibler sans discernement un large \u00e9ventail de syst\u00e8mes.\u00a0\u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/commando-cat-cryptojacking-attacks.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 juin 2024\ue804R\u00e9dactionCryptojacking \/ Vuln\u00e9rabilit\u00e9 L&#8217;acteur mena\u00e7ant connu sous le nom de Chat Commando a \u00e9t\u00e9 li\u00e9 \u00e0 une campagne d&#8217;attaque de cryptojacking en cours qui exploite des instances Docker mal s\u00e9curis\u00e9es pour d\u00e9ployer des mineurs de cryptomonnaie \u00e0 des fins financi\u00e8res. &#8220;Les attaquants ont utilis\u00e9 le conteneur d&#8217;images Docker cmd.cat\/chattr qui r\u00e9cup\u00e8re la charge [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1197061,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,8074,23853,5863,78744,4168,235661,119982,4165,4161,200267,26675,68196,4159,4171,65,200271,376,200268,200269,200270,128318,4172,4169,4166,4164],"class_list":["post-1197060","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-attaques","tag-cat","tag-ciblent","tag-commando","tag-comment-pirater","tag-configurees","tag-cryptojacking","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-docker","tag-instances","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mal","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1197060"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197060\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1197061"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1197060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1197060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1197060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}