Malware cible API Docker : cryptomonnaie en ligne de mire

Les chercheurs en cybersécurité ont découvert une nouvelle campagne malveillante visant les points de terminaison d’API Docker exposés publiquement afin de déployer des programmes de minage de cryptomonnaies et d’autres charges utiles.

Parmi les outils utilisés figure un logiciel de contrôle à distance capable de télécharger et d’exécuter d’autres programmes malveillants, ainsi qu’un utilitaire permettant de propager le malware via SSH, selon un rapport publié par la plateforme d’analytique cloud, Datadog.

Cette campagne présente des similitudes tactiques avec une précédente activité appelée Spinning YARN, qui s’attaquait à des services Apache Hadoop YARN, Docker, Atlassian Confluence et Redis mal configurés dans le but de cryptojacking.

Déroulement de l’attaque

L’attaque commence par l’identification de serveurs Docker avec des ports exposés (port 2375), ce qui permet aux cybercriminels de lancer une série d’actions incluant reconnaissance et élévation de privilèges avant de passer à l’exploitation.

Les charges utiles sont récupérées depuis une infrastructure contrôlée par les attaquants via l’exécution d’un script shell appelé « vurl ». Ce script comprend un autre script appelé « b.sh » contenant un binaire encodé en Base64 nommé « vurl », qui est responsable de récupérer et lancer un troisième script shell appelé « ar.sh » (ou « ai.sh »).

« Le script [‘b.sh’] décode et extrait ce binaire vers /usr/bin/vurl, écrasant la version du script shell existante, » a déclaré le chercheur en sécurité Matt Muir.

« Ce binaire se distingue par l’usage de domaines de commande et de contrôle (C2) intégrés dans le code. »

Le script shell « ar.sh » effectue plusieurs actions dont la création d’un répertoire de travail, l’installation d’outils pour scanner Internet à la recherche d’hôtes vulnérables, la désactivation du pare-feu, et le téléchargement de la charge utile suivante, dénommée « chkstart ».

Objectif des binaires Golang

Un binaire Golang comme « vurl » a pour principal objectif d’établir un accès à distance à l’hôte et de télécharger des outils supplémentaires, incluant « m.tar » et « top », ce dernier étant un mineur XMRig.

« Dans la campagne Spinning YARN originale, beaucoup des fonctionnalités de « chkstart » étaient réalisées via scripts shell, » a expliqué Muir.

« Le portage de ces fonctionnalités vers du code Go pourrait indiquer que l’attaquant cherche à compliquer l’analyse, étant donné que l’analyse statique de code compilé est beaucoup plus difficile que celle des scripts shell. »

Avec « chkstart », deux autres charges utiles sont téléchargées, nommées « exeremo » et « fkoths ». « Exeremo » est utilisé pour se déplacer latéralement vers d’autres hôtes et répandre l’infection, tandis que « fkoths » est un binaire ELF basé sur Go, conçu pour effacer les traces de l’activité malveillante et résister aux efforts d’analyse.

« Exeremo » est également destiné à déposer un script shell (« s.sh ») qui s’occupe d’installer divers outils de scan tels que pnscan, masscan, et un scanner Docker personnalisé (« sd/httpd ») pour repérer les systèmes vulnérables.

« Cette mise à jour de la campagne Spinning YARN montre une volonté continue d’attaquer les hôtes Docker mal configurés pour accéder initialement aux systèmes, » a déclaré Muir.

« Le cybercriminel derrière cette campagne continue à itérer sur les charges déployées en transférant les fonctionnalités vers le code Go, ce qui pourrait indiquer une tentative de compliquer le processus d’analyse, ou une expérimentation avec des constructions multi-architectures. »

Cette nouvelle itération de la campagne démontre que les cybercriminels adaptent et améliorent constamment leurs techniques pour maximiser l’efficacité et minimiser le risque d’être détectés.

Les administrateurs de systèmes doivent s’assurer que leurs configurations Docker sont sécurisées et que les ports critiques ne sont pas laissés ouverts.

En conclusion, il est impératif de rester vigilant face aux nouvelles tactiques utilisées par les cybercriminels pour éviter les compromissions.

La mise en place de bonnes pratiques de sécurité, telles que le maintien de configurations sécurisées et la limitation de l’exposition des services en ligne, est essentielle pour protéger vos systèmes contre de telles menaces.

Les risques pour les entreprises et les particuliers

Cette nouvelle campagne malveillante visant les points de terminaison d’API Docker expose principalement les entreprises utilisant cette technologie à des risques significatifs.

Les attaquants peuvent non seulement miner des cryptomonnaies en exploitant les ressources système, mais aussi prendre le contrôle à distance des infrastructures pour déployer d’autres charges malveillantes.

Cela pourrait aboutir à une perte de données, une interruption des services ou encore une compromission de la sécurité globale du réseau.

Mesures de protection essentielles

Pour se protéger contre ce type de menace, plusieurs mesures sont à adopter.

Premièrement, il est crucial de vérifier que les points de terminaison d’API Docker ne sont pas exposés publiquement en clôturant les ports inutiles et en configurant correctement les pare-feu.

L’utilisation de solutions de surveillance continue permet à l’équipe de sécurité d’être rapidement alertée en cas d’anomalies.

En outre, l’implémentation de politiques d’authentification forte et la segmentation du réseau contribueront grandement à limiter les mouvements latéraux des attaquants.

Enfin, maintenir les systèmes à jour avec les derniers correctifs et suivre les meilleures pratiques des configurations Docker sont des étapes indispensables pour renforcer la sécurité globale.