{"id":434555,"date":"2022-10-27T19:48:37","date_gmt":"2022-10-27T21:48:37","guid":{"rendered":"https:\/\/teknomers.com\/fr\/nouvelle-campagne-de-cryptojacking-ciblant-les-instances-docker-et-kubernetes-vulnerables\/"},"modified":"2022-10-27T19:48:38","modified_gmt":"2022-10-27T21:48:38","slug":"nouvelle-campagne-de-cryptojacking-ciblant-les-instances-docker-et-kubernetes-vulnerables","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/nouvelle-campagne-de-cryptojacking-ciblant-les-instances-docker-et-kubernetes-vulnerables\/","title":{"rendered":"Nouvelle campagne de cryptojacking ciblant les instances Docker et Kubernetes vuln\u00e9rables"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Une nouvelle campagne de cryptojacking a \u00e9t\u00e9 d\u00e9couverte ciblant les infrastructures Docker et Kubernetes vuln\u00e9rables dans le cadre d&#8217;attaques opportunistes con\u00e7ues pour exploiter illicitement la crypto-monnaie.<\/p>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike a surnomm\u00e9 l&#8217;activit\u00e9 <strong>Embrasser un chien<\/strong>avec son infrastructure de commandement et de contr\u00f4le qui chevauche celles associ\u00e9es \u00e0 d&#8217;autres groupes comme TeamTNT, qui sont connus pour frapper <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/22\/i\/how-malicious-actors-abuse-native-linux-tools-in-their-attacks.html\" target=\"_blank\">mal configur\u00e9<\/a> Instances Docker et Kubernetes.<\/p>\n<p>Les intrusions, rep\u00e9r\u00e9es en septembre 2022, tirent leur nom d&#8217;un domaine nomm\u00e9 &#8220;kiss.a-dog[.]top&#8221; qui est utilis\u00e9 pour d\u00e9clencher une charge utile de script shell sur le conteneur compromis \u00e0 l&#8217;aide d&#8217;une commande Python encod\u00e9e en Base64.<\/p>\n<p>&#8220;L&#8217;URL utilis\u00e9e dans la charge utile est masqu\u00e9e par des barres obliques inverses pour vaincre le d\u00e9codage automatis\u00e9 et la correspondance des expressions r\u00e9guli\u00e8res pour r\u00e9cup\u00e9rer le domaine malveillant&#8221;, a d\u00e9clar\u00e9 Manoj Ahuje, chercheur chez CrowdStrike. <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/new-kiss-a-dog-cryptojacking-campaign-targets-docker-and-kubernetes\/\" target=\"_blank\">a dit<\/a> dans une analyse technique.<\/p>\n<p>La cha\u00eene d&#8217;attaque tente ensuite de s&#8217;\u00e9chapper du conteneur et de se d\u00e9placer lat\u00e9ralement dans le r\u00e9seau pirat\u00e9, tout en prenant simultan\u00e9ment des mesures pour mettre fin et supprimer les services de surveillance du cloud.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Cryptojacking\" border=\"0\" data-original-height=\"358\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhmi5rQWlcjd7WO_WAapuE6nnf9axamV6Csa4g8C_E17qInP7dBrfylqu7n56h2Ah2rLtNNo31lijFzQTkUB5MLR__j7ERa5uz_Ofbz1PlXyB4xMeM9PVYzo4ELNADA8xw0-l2w5_w69yvM7B9n_uvNLlskkEc7ToU5D0cO20Bdq1VxM6GC3BjO1-m4ng\/s728-e1000\/malware-code.jpg\" title=\"Cryptojacking\" \/><\/div>\n<p>Comme m\u00e9thodes suppl\u00e9mentaires pour \u00e9chapper \u00e0 la d\u00e9tection, la campagne utilise le <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/m0nad\/Diamorphine\" target=\"_blank\">Diamorphine<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/gianlucaborello\/libprocesshider\" target=\"_blank\">libprocesshide<\/a> rootkits pour cacher les processus malveillants \u00e0 l&#8217;utilisateur, ce dernier \u00e9tant compil\u00e9 en tant que biblioth\u00e8que partag\u00e9e et son <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Path_(computing)\" target=\"_blank\">chemin<\/a> est d\u00e9fini comme la valeur de la <a rel=\"nofollow noopener\" href=\"https:\/\/www.cadosecurity.com\/linux-attack-techniques-dynamic-linker-hijacking-with-ld-preload\/\" target=\"_blank\">LD_PRELOAD<\/a> variables d&#8217;environnement.<\/p>\n<p>&#8220;Cela permet aux attaquants d&#8217;injecter des biblioth\u00e8ques partag\u00e9es malveillantes dans chaque processus g\u00e9n\u00e9r\u00e9 sur un conteneur compromis&#8221;, a d\u00e9clar\u00e9 Ahuje.<\/p>\n<p>L&#8217;objectif ultime de la campagne est d&#8217;exploiter furtivement la crypto-monnaie \u00e0 l&#8217;aide du logiciel d&#8217;exploitation mini\u00e8re XMRig ainsi que de d\u00e9jouer les instances Redis et Docker pour l&#8217;exploitation mini\u00e8re et d&#8217;autres attaques de suivi.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowd-mid-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEglTybVbyQ3y6xCIxW9BIpqhgWBf_IhNgCo44HrgwUeYVi_GwvasznH93LLdkqJLwdp4DUkFkILg6m3WDgkue7MFxmbzFxmTBe7-pukEjyvUZ3j9yGyBcL2yUAZVFSQkjSric7YYfU8WgwHwYsS2-3wZ1zLQDAqgkoEpk5kZsbUuyh0UlV8nq7PplYEgQ\/s1600\/banners-crowdsec-728.png\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;Alors que les prix des crypto-monnaies ont chut\u00e9, ces campagnes ont \u00e9t\u00e9 \u00e9touff\u00e9es au cours des deux derniers mois jusqu&#8217;\u00e0 ce que plusieurs campagnes soient lanc\u00e9es en octobre pour profiter d&#8217;un environnement peu concurrentiel&#8221;, a not\u00e9 Ahuje.<\/p>\n<p>Les d\u00e9couvertes surviennent \u00e9galement alors que les chercheurs de Sysdig ont d\u00e9voil\u00e9 une autre op\u00e9ration sophistiqu\u00e9e de crypto-minage appel\u00e9e PURPLEURCHIN, qui exploite le calcul allou\u00e9 aux comptes d&#8217;essai gratuits sur GitHub, Heroku et Buddy.[.]Travaille \u00e0 l&#8217;\u00e9chelle des attaques.<\/p>\n<p>Pas moins de 30 comptes GitHub, 2 000 comptes Heroku et 900 comptes Buddy auraient \u00e9t\u00e9 utilis\u00e9s dans la campagne de freejacking automatis\u00e9e.<\/p>\n<p>L&#8217;attaque implique la cr\u00e9ation d&#8217;un compte GitHub contr\u00f4l\u00e9 par un acteur, chacun contenant un r\u00e9f\u00e9rentiel qui, \u00e0 son tour, a une action GitHub pour ex\u00e9cuter des op\u00e9rations de minage en lan\u00e7ant une image Docker Hub.<\/p>\n<p>&#8220;L&#8217;utilisation de comptes gratuits transf\u00e8re le co\u00fbt de fonctionnement des cryptomineurs au fournisseur de services&#8221;, ont d\u00e9clar\u00e9 les chercheurs. <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/massive-cryptomining-operation-github-actions\/\" target=\"_blank\">a dit<\/a>.  &#8220;Cependant, comme dans de nombreux cas d&#8217;utilisation frauduleuse, l&#8217;abus de comptes gratuits peut en affecter d&#8217;autres. Des d\u00e9penses plus \u00e9lev\u00e9es pour le fournisseur entra\u00eeneront des prix plus \u00e9lev\u00e9s pour ses clients l\u00e9gitimes.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/10\/new-cryptojacking-campaign-targeting.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle campagne de cryptojacking a \u00e9t\u00e9 d\u00e9couverte ciblant les infrastructures Docker et Kubernetes vuln\u00e9rables dans le cadre d&#8217;attaques opportunistes con\u00e7ues pour exploiter illicitement la crypto-monnaie. La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 CrowdStrike a surnomm\u00e9 l&#8217;activit\u00e9 Embrasser un chienavec son infrastructure de commandement et de contr\u00f4le qui chevauche celles associ\u00e9es \u00e0 d&#8217;autres groupes comme TeamTNT, qui sont [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":434556,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2930,4175,4168,119982,4158,4165,4161,26675,68196,30045,4157,4159,4171,4170,65,4167,4160,197,4163,4162,4172,4169,4166,4164,4698],"class_list":["post-434555","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-campagne","tag-ciblant","tag-comment-pirater","tag-cryptojacking","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-docker","tag-instances","tag-kubernetes","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle","tag-vulnerables"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/434555","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=434555"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/434555\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/434556"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=434555"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=434555"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=434555"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}