{"id":367654,"date":"2022-09-16T10:21:33","date_gmt":"2022-09-16T12:21:33","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-ciblant-les-serveurs-weblogic-et-les-api-docker-pour-lextraction-de-crypto-monnaies\/"},"modified":"2022-09-16T10:21:34","modified_gmt":"2022-09-16T12:21:34","slug":"les-pirates-ciblant-les-serveurs-weblogic-et-les-api-docker-pour-lextraction-de-crypto-monnaies","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-ciblant-les-serveurs-weblogic-et-les-api-docker-pour-lextraction-de-crypto-monnaies\/","title":{"rendered":"Les pirates ciblant les serveurs WebLogic et les API Docker pour l&#8217;extraction de crypto-monnaies"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Des acteurs malveillants tels que Kinsing profitent des failles de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9es et plus anciennes dans Oracle WebLogic Server pour fournir des logiciels malveillants d&#8217;extraction de crypto-monnaie.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro l&#8217;a dit <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/a-post-exploitation-look-at-coinminers-abusing-weblogic-vulnerab.html\" target=\"_blank\">trouv\u00e9<\/a> le groupe \u00e0 motivation financi\u00e8re tirant parti de la vuln\u00e9rabilit\u00e9 pour supprimer les scripts Python avec des capacit\u00e9s pour d\u00e9sactiver les fonctionnalit\u00e9s de s\u00e9curit\u00e9 du syst\u00e8me d&#8217;exploitation (OS) telles que Security-Enhanced Linux (<a rel=\"nofollow noopener\" href=\"https:\/\/www.redhat.com\/en\/topics\/linux\/what-is-selinux\" target=\"_blank\">SELinux<\/a>), et d&#8217;autres.<\/p>\n<p>Les op\u00e9rateurs derri\u00e8re le <a rel=\"nofollow noopener\" href=\"https:\/\/www.cyberark.com\/resources\/threat-research-blog\/kinsing-the-malware-with-two-faces\" target=\"_blank\">Logiciel malveillant Kinsing<\/a> avoir un historique de recherche de serveurs vuln\u00e9rables pour les coopter dans un botnet, y compris celui de <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/20\/d\/exposed-redis-instances-abused-for-remote-code-execution-cryptocurrency-mining.html\" target=\"_blank\">Redis<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/redcanary.com\/blog\/kinsing-malware-citrix-saltstack\/\" target=\"_blank\">Pile de sel<\/a>Log4Shell, Spring4Shell et la faille Atlassian Confluence (CVE-2022-26134).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/La-nouvelle-vulnerabilite-Amazon-Ring-aurait-pu-exposer-tous-vos.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Les acteurs de Kinsing ont \u00e9galement \u00e9t\u00e9 impliqu\u00e9s dans des campagnes contre les environnements de conteneurs via <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/threat-alert-kinsing-malware-container-vulnerability\" target=\"_blank\">ports API Docker Daemon ouverts mal configur\u00e9s<\/a> pour lancer un crypto-mineur et ensuite propager le malware \u00e0 d&#8217;autres conteneurs et h\u00f4tes.<\/p>\n<p>La derni\u00e8re vague d&#8217;attaques implique l&#8217;armement de l&#8217;acteur <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-14882\" target=\"_blank\">CVE-2020-14882<\/a> (score CVSS : 9,8), un bogue d&#8217;ex\u00e9cution de code \u00e0 distance (RCE) vieux de deux ans, contre des serveurs non corrig\u00e9s pour prendre le contr\u00f4le du serveur et supprimer les charges utiles malveillantes.<\/p>\n<p>Il convient de noter que la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 exploit\u00e9e dans le pass\u00e9 par plusieurs botnets pour distribuer les mineurs Monero et la porte d\u00e9rob\u00e9e Tsunami sur les syst\u00e8mes Linux infect\u00e9s. <\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"527\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663330893_201_Les-pirates-ciblant-les-serveurs-WebLogic-et-les-API-Docker.jpg\" \/><\/div>\n<p>L&#8217;exploitation r\u00e9ussie de la faille a \u00e9t\u00e9 suivie par le d\u00e9ploiement d&#8217;un script shell responsable d&#8217;une s\u00e9rie d&#8217;actions\u00a0: suppression du <a rel=\"nofollow noopener\" href=\"https:\/\/help.ubuntu.com\/community\/LinuxLogFiles\" target=\"_blank\">\/var\/log\/syslog<\/a> journal syst\u00e8me, d\u00e9sactivant les fonctions de s\u00e9curit\u00e9 et les agents de service cloud d&#8217;Alibaba et de Tencent, et tuant les processus de minage concurrents.<\/p>\n<p>Le script shell proc\u00e8de ensuite au t\u00e9l\u00e9chargement du logiciel malveillant Kinsing \u00e0 partir d&#8217;un serveur distant, tout en prenant des mesures pour assurer la persistance au moyen d&#8217;une t\u00e2che cron.<\/p>\n<p>&#8220;L&#8217;exploitation r\u00e9ussie de cette vuln\u00e9rabilit\u00e9 peut conduire \u00e0 RCE, qui peut permettre aux attaquants d&#8217;effectuer une pl\u00e9thore d&#8217;activit\u00e9s malveillantes sur les syst\u00e8mes affect\u00e9s&#8221;, a d\u00e9clar\u00e9 Trend Micro.  &#8220;Cela peut aller de l&#8217;ex\u00e9cution de logiciels malveillants [&#8230;] au vol de donn\u00e9es critiques, et m\u00eame au contr\u00f4le complet d&#8217;une machine compromise.&#8221;<\/p>\n<h2 style=\"text-align: left\"><strong>Les acteurs de TeamTNT font leur grand retour avec Kangaroo Attack<\/strong><\/h2>\n<p>Le d\u00e9veloppement intervient alors que les chercheurs d&#8217;Aqua Security ont identifi\u00e9 trois nouvelles attaques li\u00e9es \u00e0 un autre groupe de cryptojacking &#8220;vibrant&#8221; appel\u00e9 TeamTNT, qui a volontairement ferm\u00e9 ses portes en novembre 2021.<\/p>\n<p>&#8220;TeamTNT a recherch\u00e9 un d\u00e9mon Docker mal configur\u00e9 et d\u00e9ploy\u00e9 alpine, une image de conteneur vanille, avec une ligne de commande pour t\u00e9l\u00e9charger un script shell (k.sh) sur un serveur C2&#8221;, a d\u00e9clar\u00e9 le chercheur d&#8217;Aqua Security, Assaf Morag. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/new-malware-in-the-cloud-by-teamtnt\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>Ce qui est remarquable \u00e0 propos de la cha\u00eene d&#8217;attaque, c&#8217;est qu&#8217;elle semble \u00eatre con\u00e7ue pour briser <a rel=\"nofollow noopener\" href=\"https:\/\/en.bitcoin.it\/wiki\/Secp256k1\" target=\"_blank\">Cryptage SECP256K1<\/a>, qui, en cas de succ\u00e8s, pourrait donner \u00e0 l&#8217;acteur la possibilit\u00e9 de calculer les cl\u00e9s de n&#8217;importe quel portefeuille de crypto-monnaie.  Autrement dit, l&#8217;id\u00e9e est de tirer parti de la puissance de calcul \u00e9lev\u00e9e mais ill\u00e9gale de ses cibles pour ex\u00e9cuter le solveur ECDLP et obtenir la cl\u00e9.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/08\/Google-Cloud-bloque-une-attaque-DDoS-record-de-46-millions.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Deux autres attaques mont\u00e9es par le groupe impliquent l&#8217;exploitation de <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/container-attacks-on-redis-servers\" target=\"_blank\">serveurs Redis expos\u00e9s<\/a> et des API Docker mal configur\u00e9es pour d\u00e9ployer des mineurs de pi\u00e8ces et des binaires Tsunami.<\/p>\n<p>Le ciblage par TeamTNT des API Docker REST a \u00e9t\u00e9 bien document\u00e9 au cours de la derni\u00e8re ann\u00e9e.  Mais dans un <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/security-breaks-teamtnts-dockerhub-credentials-leak.html\" target=\"_blank\">erreur de s\u00e9curit\u00e9 op\u00e9rationnelle<\/a> rep\u00e9r\u00e9 par Trend Micro, les informations d&#8217;identification associ\u00e9es \u00e0 deux des comptes DockerHub contr\u00f4l\u00e9s par l&#8217;attaquant ont \u00e9t\u00e9 d\u00e9couvertes.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/09\/1663330893_376_Les-pirates-ciblant-les-serveurs-WebLogic-et-les-API-Docker.jpg\" \/><\/div>\n<p>Les comptes \u2013 alpineos et sandeep078 \u2013 auraient \u00e9t\u00e9 utilis\u00e9s pour distribuer une vari\u00e9t\u00e9 de charges utiles malveillantes telles que des rootkits, des kits d&#8217;exploitation Kubernetes, des voleurs d&#8217;informations d&#8217;identification, des mineurs XMRig Monero et m\u00eame le malware Kinsing.<\/p>\n<p>&#8220;Le compte alpineos a \u00e9t\u00e9 utilis\u00e9 \u00e0 trois reprises dans des tentatives d&#8217;exploitation de nos pots de miel, de la mi-septembre au d\u00e9but octobre 2021, et nous avons suivi les adresses IP des d\u00e9ploiements jusqu&#8217;\u00e0 leur emplacement en Allemagne&#8221;, a d\u00e9clar\u00e9 Nitesh Surana de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/security-breaks-teamtnts-dockerhub-credentials-leak.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Les acteurs de la menace \u00e9taient connect\u00e9s \u00e0 leurs comptes sur le registre DockerHub et ont probablement oubli\u00e9 de se d\u00e9connecter.&#8221;  Alternativement, &#8220;les acteurs de la menace se sont connect\u00e9s \u00e0 leur compte DockerHub en utilisant les informations d&#8217;identification d&#8217;alpineos&#8221;.<\/p>\n<p>Trend Micro a d\u00e9clar\u00e9 que l&#8217;image alpineos malveillante avait \u00e9t\u00e9 t\u00e9l\u00e9charg\u00e9e plus de 150 000 fois, ajoutant qu&#8217;elle avait inform\u00e9 Docker de ces comptes. <\/p>\n<p>Il recommande \u00e9galement aux organisations de configurer l&#8217;API REST expos\u00e9e avec TLS pour att\u00e9nuer les attaques de l&#8217;adversaire au milieu (AiTM), ainsi que d&#8217;utiliser les magasins d&#8217;informations d&#8217;identification et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/docker\/docker-credential-helpers\" target=\"_blank\">aides<\/a> pour h\u00e9berger les informations d&#8217;identification de l&#8217;utilisateur.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/09\/hackers-targeting-weblogic-servers-and.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Des acteurs malveillants tels que Kinsing profitent des failles de s\u00e9curit\u00e9 r\u00e9cemment r\u00e9v\u00e9l\u00e9es et plus anciennes dans Oracle WebLogic Server pour fournir des logiciels malveillants d&#8217;extraction de crypto-monnaie. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Trend Micro l&#8217;a dit trouv\u00e9 le groupe \u00e0 motivation financi\u00e8re tirant parti de la vuln\u00e9rabilit\u00e9 pour supprimer les scripts Python avec des capacit\u00e9s [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":367655,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[43650,4175,4168,8390,4158,4165,4161,26675,4157,4159,4171,4170,65,13102,4167,4160,4163,4162,4394,185,4172,4169,8541,4166,4164,109340],"class_list":["post-367654","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-api","tag-ciblant","tag-comment-pirater","tag-cryptomonnaies","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-docker","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-lextraction","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-serveurs","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-weblogic"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/367654","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=367654"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/367654\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/367655"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=367654"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=367654"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=367654"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}