Generate a high-definition, realistic illustration that portrays an emerging cryptojacking scheme targeting exposed Docker APIs. The image can include a computer screen displaying code related to Docker APIs and cryptocurrency mining, alongside various symbolic elements that represent the aspect of 'emerging scheme' such as a padlock being unlocked, a magnifying glass over lines of code, or an hourglass to signify time. Please remember that this is a conceptual representation and should not include real individuals or identifiable logos.

Schéma émergent de cryptojacking ciblant les API Docker exposées

Uncategorized

Des spécialistes de la cybersécurité ont découvert une opération de logiciels malveillants sophistiquée ciblant les points d’accès API Docker exposés. Cette campagne malveillante vise principalement à distribuer des logiciels de minage de cryptomonnaies, ainsi que d’autres charges dangereuses.

Les outils importants utilisés dans cette opération comprennent un instrument d’accès à distance capable de télécharger des logiciels malveillants supplémentaires, ainsi qu’un utilitaire pour disséminer le code malveillant via SSH, comme révélé dans un récent rapport de la société d’analyse cloud Datadog.

Les chercheurs ont noté des similitudes entre cette campagne et une précédente connue sous le nom de Spinning YARN, qui exploitait de manière similaire des services mal configurés tels que Apache Hadoop YARN, Docker, Atlassian Confluence et Redis pour le cryptojacking.

Les attaquants lancent leur stratagème en identifiant des serveurs Docker non sécurisés, en utilisant des ports ouverts spécifiques pour entamer une attaque à plusieurs niveaux qui comprend la reconnaissance, l’élévation des privilèges et l’exploitation finale.

Ces adversaires utilisent un script shell nommé « vurl » pour acquérir des charges utiles à partir d’une infrastructure contrôlée. Le script « vurl » récupère un exécutable encodé en Base64 et un troisième script shell pour des actions malveillantes supplémentaires. L’expert en sécurité Matt Muir a confirmé que l’exécutable usurpe le script dans son utilisation de domaines de commande et de contrôle intégrés.

Le binaire basé sur Golang, judicieusement nommé « chkstart », semble rationaliser la capacité du logiciel malveillant à configurer l’accès à distance et télécharger des outils supplémentaires, tels qu’une archive « m.tar » et la commande « top », dissimulant un mineur XMRig à l’intérieur.

Des modules de logiciels malveillants supplémentaires tels que « exeremo » facilitent le mouvement latéral à travers les réseaux et aident à propager l’infection, tandis que « fkoths », un autre binaire basé sur Go, est conçu pour effacer les preuves de l’intrusion et contrecarrer l’analyse.

La phase la plus récente introduit également un script shell, « s.sh », pour configurer des utilitaires de numérisation capables d’identifier et de signaler les systèmes à risque.

Dans l’ensemble, l’évolution de cette campagne démontre l’exploitation continue des hôtes Docker vulnérables pour les cyberattaques et l’adaptation des charges malveillantes pour entraver les investigations forensiques.

Pour plus d’informations sur les menaces émergentes dans le paysage de la cybersécurité, consultez les ressources d’organisations réputées de l’industrie :

US Cybersecurity and Infrastructure Security Agency (CISA)
Europol

Assurez-vous de toujours visiter ces sites directement en tapant l’URL dans votre navigateur pour éviter les sites de phishing ou frauduleux.