{"id":232765,"date":"2022-07-01T03:41:13","date_gmt":"2022-07-01T05:41:13","guid":{"rendered":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-une-campagne-de-logiciels-malveillants-de-cryptominage-ciblant-les-serveurs-linux\/"},"modified":"2022-07-01T03:41:14","modified_gmt":"2022-07-01T05:41:14","slug":"microsoft-met-en-garde-contre-une-campagne-de-logiciels-malveillants-de-cryptominage-ciblant-les-serveurs-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/microsoft-met-en-garde-contre-une-campagne-de-logiciels-malveillants-de-cryptominage-ciblant-les-serveurs-linux\/","title":{"rendered":"Microsoft met en garde contre une campagne de logiciels malveillants de cryptominage ciblant les serveurs Linux"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un groupe d&#8217;acteurs de la menace cloud suivi sous le nom de 8220 a mis \u00e0 jour son ensemble d&#8217;outils malveillants pour violer les serveurs Linux dans le but d&#8217;installer des crypto-mineurs dans le cadre d&#8217;une campagne de longue dur\u00e9e.<\/p>\n<p>&#8220;Les mises \u00e0 jour incluent le d\u00e9ploiement de nouvelles versions d&#8217;un crypto-mineur et d&#8217;un bot IRC&#8221;, Microsoft Security Intelligence <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/MsftSecIntel\/status\/1542281805549764608\" target=\"_blank\">a dit<\/a> dans une s\u00e9rie de tweets jeudi.  &#8220;Le groupe a activement mis \u00e0 jour ses techniques et ses charges utiles au cours de l&#8217;ann\u00e9e derni\u00e8re.&#8221;<\/p>\n<p>8220, actif depuis <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2018\/12\/cryptomining-campaigns-2018.html\" target=\"_blank\">d\u00e9but 2017<\/a>est un acteur chinois de menace mini\u00e8re Monero ainsi nomm\u00e9 pour sa pr\u00e9f\u00e9rence pour communiquer avec les serveurs de commande et de contr\u00f4le (C2) sur le port 8220. Il est \u00e9galement le d\u00e9veloppeur d&#8217;un outil appel\u00e9 whatMiner, qui a \u00e9t\u00e9 coopt\u00e9 par le groupe cybercriminel Rocke dans leurs attaques.<\/p>\n<p>En juillet 2019, l&#8217;\u00e9quipe Alibaba Cloud Security <a rel=\"nofollow noopener\" href=\"https:\/\/www.alibabacloud.com\/blog\/8220-mining-group-now-uses-rootkit-to-hide-its-miners_595055\" target=\"_blank\">d\u00e9couvert<\/a> un changement suppl\u00e9mentaire dans la tactique de l&#8217;adversaire, notant son utilisation de rootkits pour cacher le programme de minage.  Deux ans plus tard, le gang <a rel=\"nofollow noopener\" href=\"https:\/\/www.lacework.com\/blog\/8220-gangs-recent-use-of-custom-miner-and-botnet\/\" target=\"_blank\">refait surface<\/a> avec Tsunami <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/IRC_bot\" target=\"_blank\">R\u00e9seau de zombies IRC<\/a> variantes et un mineur &#8220;PwnRig&#8221; personnalis\u00e9.<\/p>\n<p>Maintenant, selon Microsoft, la campagne la plus r\u00e9cente frappant les syst\u00e8mes Linux i686 et x86_64 a \u00e9t\u00e9 observ\u00e9e en train de militariser des exploits d&#8217;ex\u00e9cution de code \u00e0 distance pour le serveur Atlassian Confluence r\u00e9cemment d\u00e9voil\u00e9 (CVE-2022-26134) et Oracle WebLogic (CVE-2019-2725) pour un acc\u00e8s initial. .<\/p>\n<p>Cette \u00e9tape est suivie par la r\u00e9cup\u00e9ration d&#8217;un chargeur de logiciels malveillants \u00e0 partir d&#8217;un serveur distant con\u00e7u pour supprimer le mineur PwnRig et un bot IRC, mais pas avant de prendre des mesures pour \u00e9chapper \u00e0 la d\u00e9tection en effa\u00e7ant les fichiers journaux et en d\u00e9sactivant les logiciels de surveillance et de s\u00e9curit\u00e9 du cloud.<\/p>\n<p>En plus d&#8217;atteindre la persistance au moyen d&#8217;une t\u00e2che cron, le &#8220;chargeur utilise l&#8217;outil d&#8217;analyse de port IP &#8216;masscan&#8217; pour trouver d&#8217;autres serveurs SSH dans le r\u00e9seau, puis utilise l&#8217;outil de force brute SSH bas\u00e9 sur GoLang &#8216;spirit&#8217; pour se propager&#8221;, Microsoft a dit.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Les d\u00e9couvertes arrivent alors qu&#8217;Akamai <a rel=\"nofollow noopener\" href=\"https:\/\/www.akamai.com\/blog\/security\/atlassian-confluence-vulnerability-observations\" target=\"_blank\">r\u00e9v\u00e9l\u00e9<\/a> que la faille Atlassian Confluence est t\u00e9moin de 20 000 tentatives d&#8217;exploitation par jour qui sont lanc\u00e9es \u00e0 partir d&#8217;environ 6 000 adresses IP, contre un pic de 100 000 imm\u00e9diatement apr\u00e8s la divulgation du bogue le 2 juin 2022. 67 % des attaques auraient originaire des \u00c9tats-Unis<\/p>\n<p>\u00ab En t\u00eate, le commerce repr\u00e9sente 38 % de l&#8217;activit\u00e9 d&#8217;attaque, suivi respectivement de la haute technologie et des services financiers \u00bb, a d\u00e9clar\u00e9 cette semaine Chen Doytshman d&#8217;Akamai.  &#8220;Ces trois principaux march\u00e9s verticaux repr\u00e9sentent plus de 75\u00a0% de l&#8217;activit\u00e9.&#8221;<\/p>\n<p>Les attaques vont des sondes de vuln\u00e9rabilit\u00e9 pour d\u00e9terminer si le syst\u00e8me cible est susceptible d&#8217;injecter des logiciels malveillants tels que des shells Web et des crypto-mineurs, a not\u00e9 la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud.<\/p>\n<p>&#8220;Ce qui est particuli\u00e8rement pr\u00e9occupant, c&#8217;est l&#8217;ampleur du changement vers le haut de ce type d&#8217;attaque au cours des derni\u00e8res semaines&#8221;, a ajout\u00e9 Doytshman.  &#8220;Comme nous l&#8217;avons vu avec des vuln\u00e9rabilit\u00e9s similaires, ce CVE-2022-26134 continuera probablement \u00e0 \u00eatre exploit\u00e9 pendant au moins les deux prochaines ann\u00e9es.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/microsoft-warns-of-cryptomining-malware.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un groupe d&#8217;acteurs de la menace cloud suivi sous le nom de 8220 a mis \u00e0 jour son ensemble d&#8217;outils malveillants pour violer les serveurs Linux dans le but d&#8217;installer des crypto-mineurs dans le cadre d&#8217;une campagne de longue dur\u00e9e. &#8220;Les mises \u00e0 jour incluent le d\u00e9ploiement de nouvelles versions d&#8217;un crypto-mineur et d&#8217;un bot [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":232766,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2930,4175,4168,841,84829,4158,4165,4161,525,4157,4159,4171,4170,65,18088,4167,4589,4590,4955,8362,4160,4163,4162,4172,4169,8541,196,4166,4164],"class_list":["post-232765","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-campagne","tag-ciblant","tag-comment-pirater","tag-contre","tag-cryptominage","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-linux","tag-logiciel-malveillant-de-ransomware","tag-logiciels","tag-malveillants","tag-met","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/232765","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=232765"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/232765\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/232766"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=232765"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=232765"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=232765"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}