Les serveurs Docker piratés dans le cadre d’une campagne de malware de cryptominage en cours

Docker servers hacked in ongoing cryptomining malware campaign

Les API Docker sur les serveurs Linux sont ciblées par une campagne de crypto-minage Monero à grande échelle menée par les opérateurs du botnet Lemon_Duck.

Les gangs de cryptominage sont une menace constante pour les systèmes Docker mal sécurisés ou mal configurés, avec de multiples campagnes d’exploitation de masse signalées ces dernières années.

LemonDuck, en particulier, se concentrait auparavant sur l’exploitation des serveurs Microsoft Exchange vulnérables, et avant cela, il ciblait les machines Linux via des attaques par force brute SSH, les systèmes Windows vulnérables à SMBGhost et les serveurs exécutant des instances Redis et Hadoop.

Selon un Foule rapport publié aujourd’hui, l’acteur de la menace derrière la campagne Lemon_Duck en cours cache son portefeuille derrière des pools de proxy.

Détails de la campagne

Lemon_Duck accède aux API Docker exposées et exécute un conteneur malveillant pour récupérer un script Bash déguisé en image PNG.

Ajouter un cronjob malveillant
Ajouter un cronjob malveillant (Grève de foule)

La charge utile crée une tâche cron dans le conteneur pour télécharger un fichier Bash (a.asp) qui effectue les actions suivantes :

  • Tuez les processus basés sur les noms des pools de minage connus, des groupes de cryptominage concurrents, etc.
  • Tuez les démons comme crond, sshd et syslog.
  • Supprimez les chemins d’accès aux fichiers d’indicateur de compromission (IOC) connus.
  • Tuez les connexions réseau aux C2 connus pour appartenir à des groupes de cryptominage concurrents.
  • Désactivez le service de surveillance d’Alibaba Cloud qui protège les instances des activités à risque.
Désactivation du moniteur Alibaba Cloud
Désactivation du moniteur Alibaba Cloud (Grève de foule)

La désactivation des fonctionnalités de protection dans les services Alibaba Cloud a déjà été observée dans des logiciels malveillants de cryptominage en novembre 2021, employés par des acteurs inconnus.

Après avoir exécuté les actions ci-dessus, le script Bash télécharge et exécute l’utilitaire de cryptominage XMRig avec un fichier de configuration qui cache les portefeuilles de l’acteur derrière des pools de proxy.

Une fois que la machine initialement infectée a été configurée pour exploiter, Lemon_Duck tente un mouvement latéral en exploitant les clés SSH trouvées sur le système de fichiers. Si ceux-ci sont disponibles, l’attaquant les utilise pour répéter le même processus d’infection.

Recherche de clés SSH sur le système de fichiers
Recherche de clés SSH sur le système de fichiers (Grève de foule)

Contrôler les menaces Docker

Parallèlement à cette campagne, Rapports Cisco Talos à propos d’un autre attribué à TeamTNT, qui cible également les instances d’API Docker exposées sur Amazon Web Services.

Ce groupe de menaces tente également de désactiver les services de sécurité cloud pour échapper à la détection et continuer à exploiter Monero, Bitcoin et Ether aussi longtemps que possible.

Il est clair que la nécessité de configurer les déploiements d’API Docker en toute sécurité est impérative, et les administrateurs peuvent commencer par vérifier les les meilleures pratiques et recommandations de sécurité contre leur configuration.

De plus, définissez des limites de consommation de ressources sur tous les conteneurs, imposez des politiques strictes d’authentification d’image et appliquez les principes du moindre privilège.