{"id":825400,"date":"2023-07-11T12:02:43","date_gmt":"2023-07-11T14:02:43","guid":{"rendered":"https:\/\/teknomers.com\/fr\/campagne-de-cryptojacking-scarleteel-exploitant-aws-fargate-dans-une-campagne-en-cours\/"},"modified":"2023-07-11T12:02:46","modified_gmt":"2023-07-11T14:02:46","slug":"campagne-de-cryptojacking-scarleteel-exploitant-aws-fargate-dans-une-campagne-en-cours","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/campagne-de-cryptojacking-scarleteel-exploitant-aws-fargate-dans-une-campagne-en-cours\/","title":{"rendered":"Campagne de cryptojacking SCARLETEEL exploitant AWS Fargate dans une campagne en cours"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">THN<\/span><\/span><span class=\"p-tags\">Crypto-monnaie \/ S\u00e9curit\u00e9 Cloud<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Les environnements cloud continuent de faire l&#8217;objet d&#8217;une campagne d&#8217;attaque avanc\u00e9e en cours baptis\u00e9e SCARLETEEL, les acteurs de la menace visant d\u00e9sormais Amazon Web Services (AWS) Fargate.<\/p>\n<p>&#8220;Les environnements cloud sont toujours leur cible principale, mais les outils et techniques utilis\u00e9s se sont adapt\u00e9s pour contourner les nouvelles mesures de s\u00e9curit\u00e9, ainsi qu&#8217;une architecture de commande et de contr\u00f4le plus r\u00e9siliente et furtive&#8221;, a d\u00e9clar\u00e9 Alessandro Brucato, chercheur en s\u00e9curit\u00e9 chez Sysdig, dans un nouveau rapport partag\u00e9 avec The Hacker. Nouvelles.<\/p>\n<p>SCARLETEEL a \u00e9t\u00e9 expos\u00e9 pour la premi\u00e8re fois par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 en f\u00e9vrier 2023, d\u00e9taillant une cha\u00eene d&#8217;attaque sophistiqu\u00e9e qui a abouti au vol de donn\u00e9es propri\u00e9taires de l&#8217;infrastructure AWS et au d\u00e9ploiement de mineurs de crypto-monnaie pour profiter ill\u00e9galement des ressources des syst\u00e8mes compromis.<\/p>\n<p>Une analyse de suivi par Cado Security a r\u00e9v\u00e9l\u00e9 des liens potentiels avec un groupe prolifique de cryptojacking connu sous le nom de TeamTNT, bien que Sysdig <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/scarleteel-2-0\/\" target=\"_blank\">dit<\/a> The Hacker News qu&#8217;il \u00ab pourrait s&#8217;agir de quelqu&#8217;un qui copie sa m\u00e9thodologie et ses sch\u00e9mas d&#8217;attaque \u00bb.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>La derni\u00e8re activit\u00e9 poursuit le penchant de l&#8217;acteur mena\u00e7ant pour s&#8217;attaquer aux comptes AWS en exploitant des applications Web vuln\u00e9rables destin\u00e9es au public dans le but ultime de gagner en persistance, de voler la propri\u00e9t\u00e9 intellectuelle et de g\u00e9n\u00e9rer potentiellement des revenus \u00e0 hauteur de 4 000 $ par jour en utilisant des crypto-mineurs.<\/p>\n<p>&#8220;L&#8217;acteur a d\u00e9couvert et exploit\u00e9 une erreur dans une politique AWS qui leur a permis d&#8217;\u00e9lever les privil\u00e8ges \u00e0 AdministratorAccess et de prendre le contr\u00f4le du compte, leur permettant ensuite d&#8217;en faire ce qu&#8217;ils voulaient&#8221;, a expliqu\u00e9 Brucato.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/07\/1689084163_125_Campagne-de-cryptojacking-SCARLETEEL-exploitant-AWS-Fargate-dans-une-campagne.jpg\" alt=\"SCARLETEEL Attaquants\" border=\"0\" data-original-height=\"240\" data-original-width=\"728\" title=\"SCARLETEEL Attaquants\"\/><\/div>\n<p>Tout commence avec l&#8217;adversaire exploitant les conteneurs de notebooks JupyterLab d\u00e9ploy\u00e9s dans un cluster Kubernetes, tirant parti de l&#8217;implantation initiale pour effectuer une reconnaissance du r\u00e9seau cible et <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/99e70e041dad90226186f39f9bc347115750c276a35bfd659beb23c047d1df6e\/detection\" target=\"_blank\">recueillir les informations d&#8217;identification AWS<\/a> pour obtenir un acc\u00e8s plus profond dans l&#8217;environnement de la victime.<\/p>\n<p>Ceci est suivi par l&#8217;installation de l&#8217;outil de ligne de commande AWS et d&#8217;un cadre d&#8217;exploitation appel\u00e9 Pacu pour une exploitation ult\u00e9rieure.  L&#8217;attaque se distingue \u00e9galement par son utilisation de divers scripts shell pour r\u00e9cup\u00e9rer les informations d&#8217;identification AWS, dont certaines ciblent les instances du moteur de calcul AWS Fargate.<\/p>\n<p>&#8220;L&#8217;attaquant a \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser le client AWS pour se connecter \u00e0 des syst\u00e8mes russes compatibles avec le protocole S3&#8221;, a d\u00e9clar\u00e9 Brucato, ajoutant que les acteurs de SCARLETEEL ont utilis\u00e9 des techniques furtives pour s&#8217;assurer que les \u00e9v\u00e9nements d&#8217;exfiltration de donn\u00e9es ne sont pas captur\u00e9s dans les journaux CloudTrail.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 PAM Security \u2013 Des solutions expertes pour s\u00e9curiser vos comptes sensibles<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">Ce webinaire dirig\u00e9 par des experts vous fournira les connaissances et les strat\u00e9gies dont vous avez besoin pour transformer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>Certaines des autres mesures prises par l&#8217;attaquant incluent l&#8217;utilisation d&#8217;un outil de test d&#8217;intrusion Kubernetes appel\u00e9 Peirates pour exploiter le syst\u00e8me d&#8217;orchestration de conteneurs et un malware botnet DDoS appel\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/ieeexplore.ieee.org\/document\/8528549\" target=\"_blank\">Pandore<\/a>indiquant de nouvelles tentatives de la part de l&#8217;acteur pour mon\u00e9tiser l&#8217;h\u00e9bergeur.<\/p>\n<p>&#8220;Les acteurs de SCARLETEEL continuent d&#8217;op\u00e9rer contre des cibles dans le cloud, y compris AWS et Kubernetes&#8221;, a d\u00e9clar\u00e9 Brucato.  &#8220;Leur m\u00e9thode d&#8217;entr\u00e9e pr\u00e9f\u00e9r\u00e9e est l&#8217;exploitation de services de calcul ouverts et d&#8217;applications vuln\u00e9rables. L&#8217;accent est continuellement mis sur le gain mon\u00e9taire via l&#8217;extraction de crypto, mais [&#8230;] la propri\u00e9t\u00e9 intellectuelle reste une priorit\u00e9.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/scarleteel-cryptojacking-campaign.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 juil. 2023\ue804THNCrypto-monnaie \/ S\u00e9curit\u00e9 Cloud Les environnements cloud continuent de faire l&#8217;objet d&#8217;une campagne d&#8217;attaque avanc\u00e9e en cours baptis\u00e9e SCARLETEEL, les acteurs de la menace visant d\u00e9sormais Amazon Web Services (AWS) Fargate. &#8220;Les environnements cloud sont toujours leur cible principale, mais les outils et techniques utilis\u00e9s se sont adapt\u00e9s pour contourner les nouvelles mesures [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":825401,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[45034,2930,4168,1297,119982,4158,4165,4161,429,29063,173362,4157,4159,4171,4170,4167,4160,4163,4162,173361,4172,4169,196,4166,4164],"class_list":["post-825400","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-aws","tag-campagne","tag-comment-pirater","tag-cours","tag-cryptojacking","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-dans","tag-exploitant","tag-fargate","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-scarleteel","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/825400","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=825400"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/825400\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/825401"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=825400"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=825400"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=825400"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}