{"id":818499,"date":"2023-07-06T21:48:39","date_gmt":"2023-07-06T23:48:39","guid":{"rendered":"https:\/\/teknomers.com\/fr\/campagne-silentbob-les-environnements-cloud-natifs-attaques\/"},"modified":"2023-07-06T21:48:43","modified_gmt":"2023-07-06T23:48:43","slug":"campagne-silentbob-les-environnements-cloud-natifs-attaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/campagne-silentbob-les-environnements-cloud-natifs-attaques\/","title":{"rendered":"Campagne Silentbob\u00a0: les environnements cloud natifs attaqu\u00e9s"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">06 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9 cloud \/ piratage de serveur<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une infrastructure d&#8217;attaque qui est utilis\u00e9e dans le cadre d&#8217;une &#8220;campagne potentiellement massive&#8221; contre les environnements natifs du cloud.<\/p>\n<p>&#8220;Cette infrastructure en est aux premiers stades des tests et du d\u00e9ploiement, et est principalement coh\u00e9rente avec un ver cloud agressif, con\u00e7u pour se d\u00e9ployer sur les API JupyterLab et Docker expos\u00e9es afin de d\u00e9ployer le malware Tsunami, le piratage des informations d&#8217;identification cloud, le piratage des ressources et une nouvelle infestation du ver&#8221;, soci\u00e9t\u00e9 de s\u00e9curit\u00e9 cloud Aqua <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/threat-alert-anatomy-of-silentbobs-cloud-attack\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>L&#8217;activit\u00e9, baptis\u00e9e <strong>Silentbob<\/strong> en r\u00e9f\u00e9rence \u00e0 un domaine AnonDNS mis en place par l&#8217;attaquant, serait li\u00e9 au tristement c\u00e9l\u00e8bre groupe de cryptojacking suivi sous le nom de TeamTNT, citant des chevauchements dans les tactiques, techniques et proc\u00e9dures (TTP).  Cependant, l&#8217;implication d&#8217;un &#8220;imitateur avanc\u00e9&#8221; n&#8217;a pas \u00e9t\u00e9 exclue.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>L&#8217;enqu\u00eate d&#8217;Aqua a \u00e9t\u00e9 d\u00e9clench\u00e9e \u00e0 la suite d&#8217;une attaque ciblant son pot de miel d\u00e9but juin 2023, conduisant \u00e0 la d\u00e9couverte de quatre images de conteneurs malveillantes con\u00e7ues pour d\u00e9tecter les instances expos\u00e9es de Docker et Jupyter Lab et d\u00e9ployer un mineur de crypto-monnaie ainsi que la porte d\u00e9rob\u00e9e Tsunami.<\/p>\n<p>Cet exploit est r\u00e9alis\u00e9 au moyen d&#8217;un script shell qui est programm\u00e9 pour se lancer au d\u00e9marrage du conteneur et est utilis\u00e9 pour d\u00e9ployer le Go-based <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/zmap\/zgrab2\" target=\"_blank\">ZGrab<\/a> scanner pour localiser les serveurs mal configur\u00e9s.  Docker a depuis retir\u00e9 les images du registre public.  La liste des images est ci-dessous &#8211;<\/p>\n<ul>\n<li>shanidmk\/jltest2 (44 tirages)<\/li>\n<li>shanidmk\/jltest (8 tirages)<\/li>\n<li>shanidmk\/sysapp (11 extractions)<\/li>\n<li>shanidmk\/blob (29 tirages)<\/li>\n<\/ul>\n<p>shanidmk\/sysapp, en plus d&#8217;ex\u00e9cuter un mineur de crypto-monnaie sur l&#8217;h\u00f4te infect\u00e9, est configur\u00e9 pour t\u00e9l\u00e9charger et ex\u00e9cuter des binaires suppl\u00e9mentaires, qui, selon Aqua, pourraient \u00eatre soit des cryptomineurs de sauvegarde, soit le malware Tsunami.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gestion des acc\u00e8s privil\u00e9gi\u00e9s\u00a0: apprenez \u00e0 relever les principaux d\u00e9fis<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">D\u00e9couvrez diff\u00e9rentes approches pour relever les d\u00e9fis de la gestion des comptes privil\u00e9gi\u00e9s (PAM) et am\u00e9liorer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>Le conteneur t\u00e9l\u00e9charge \u00e9galement un fichier nomm\u00e9 &#8220;aws.sh.txt&#8221;, un script qui est probablement con\u00e7u pour analyser syst\u00e9matiquement l&#8217;environnement \u00e0 la recherche de cl\u00e9s AWS en vue d&#8217;une exfiltration ult\u00e9rieure.<\/p>\n<p>Aqua a d\u00e9clar\u00e9 avoir trouv\u00e9 51 serveurs avec des instances JupyterLab expos\u00e9es dans la nature, qui ont toutes \u00e9t\u00e9 activement exploit\u00e9es ou ont montr\u00e9 des signes d&#8217;exploitation par des acteurs de la menace.  Cela inclut une &#8220;attaque manuelle en direct sur l&#8217;un des serveurs qui a utilis\u00e9 masscan pour rechercher les API Docker expos\u00e9es&#8221;.<\/p>\n<p>&#8220;Au d\u00e9part, l&#8217;attaquant identifie un serveur mal configur\u00e9 (soit l&#8217;API Docker ou JupyterLab) et d\u00e9ploie un conteneur ou s&#8217;engage avec l&#8217;interface de ligne de commande (CLI) pour rechercher et identifier d&#8217;autres victimes&#8221;, ont d\u00e9clar\u00e9 les chercheurs en s\u00e9curit\u00e9 Ofek Itach et Assaf Morag.<\/p>\n<p>&#8220;Ce processus est con\u00e7u pour propager le malware sur un nombre croissant de serveurs. La charge utile secondaire de cette attaque comprend un crypto-mineur et une porte d\u00e9rob\u00e9e, cette derni\u00e8re utilisant le malware Tsunami comme arme de choix.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/silentbob-campaign-cloud-native.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80206 juil. 2023\ue804Ravie LakshmananS\u00e9curit\u00e9 cloud \/ piratage de serveur Les chercheurs en cybers\u00e9curit\u00e9 ont d\u00e9couvert une infrastructure d&#8217;attaque qui est utilis\u00e9e dans le cadre d&#8217;une &#8220;campagne potentiellement massive&#8221; contre les environnements natifs du cloud. &#8220;Cette infrastructure en est aux premiers stades des tests et du d\u00e9ploiement, et est principalement coh\u00e9rente avec un ver cloud agressif, [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":818500,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[8074,2930,22780,4168,4158,4165,4161,48187,4157,4159,4171,4170,65,4167,4160,141182,4163,4162,4172,4169,172587,4166,4164],"class_list":["post-818499","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-attaques","tag-campagne","tag-cloud","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-environnements","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-natifs","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-securite-informatique","tag-securite-internet","tag-silentbob","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/818499","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=818499"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/818499\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/818500"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=818499"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=818499"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=818499"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}