Commando Cat Attacks : Protégez les API Docker exposées dès aujourd'hui
Les risques liés aux API Docker exposées constituent des menaces importantes pour la sécurité des entreprises qui utilisent la technologie des conteneurs. Au cours des derniers mois, une opération sophistiquée de cryptojacking baptisée Commando Cat s'est révélée être une menace puissante pour la sécurité des sécurité des API Docker Docker accessible sur l'internet. Cette campagne, décrite par les chercheurs en sécurité de Cado, Nate Bill et Matt Muir, témoigne d'une tendance inquiétante dans les cybermenaces ciblant les hôtes Docker vulnérables.
Comprendre le chat Commando
Commando Cat utilise Docker comme passerelle pour infiltrer les systèmes, en déployant un conteneur bénin créé par le projet Commando. Une fois à l'intérieur, l'attaquant orchestre une série d'actions malveillantes, notamment en s'échappant du conteneur pour exécuter plusieurs charges utiles sur l'hôte Docker. Violation de l'API Docker de Docker nécessite des mesures de sécurité proactives et une surveillance vigilante afin de se prémunir contre les vulnérabilités potentielles.
Calendrier des activités
Cyberattaques sur le thème des chats cyberattaques sur le thème du chat ajoutent une touche unique au paysage en constante évolution des menaces de cybersécurité. On pense qu'il est opérationnel depuis le début de l'année 2024, Commando Cat suit de près des campagnes similaires. En janvier de la même année, un autre groupe d'activités malveillantes visant à exploiter les hôtes Docker vulnérables a été mis au jour, soulignant la prévalence croissante de ces menaces.
Modus Operandi
Le modus operandi du Commando Cat consiste à tirer parti de Docker pour initier l'accès et livrer une série de charges utiles interconnectées à partir d'un serveur contrôlé par l'attaquant. Ces charges utiles englobent toute une série d'activités néfastes, allant de l'établissement de la persistance et du backdooring de l'hôte à l'exfiltration des informations d'identification des fournisseurs de services cloud et au lancement d'opérations de minage de crypto-monnaies.
Échapper à l'enfermement
Un aspect notable de la stratégie de Commando Cat est sa capacité à échapper aux contraintes du conteneur à l'aide de la commande chroot, ce qui lui permet d'étendre son champ d'action au sein du système hôte. Cette manœuvre permet à l'attaquant d'exécuter d'autres commandes et d'élever ses privilèges, ce qui amplifie l'impact de la cyberattaque de Commando Cat. attaque Commando Cat.
Identifier les vulnérabilités des conteneurs
Après avoir pris pied dans les instances Docker sensibles, Commando Cat procède à une reconnaissance approfondie, en vérifiant la présence de services actifs spécifiques tels que "ys-kernel-debugger", "gsc", "c3pool_miner", etc. et "dockercache". Cette approche méticuleuse garantit que l'attaque ne se déroule que dans des conditions optimales, maximisant ainsi ses chances de réussite.
Exploiter les faiblesses
Les étapes suivantes de l'attaque consistent à déployer des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle, notamment des scripts shell capables de créer des portes dérobées, d'ajouter des clés SSH et d'établir des comptes d'utilisateurs malhonnêtes avec des privilèges élevés. Ces actions ouvrent effectivement la voie à un accès et un contrôle prolongés sur le système compromis.
Tactiques d'évasion
La cybersécurité des conteneurs Docker est essentielle dans le paysage numérique actuel. Commando Cat utilise diverses tactiques d'évasion pour déjouer la détection et l'analyse médico-légale. En utilisant des emplacements de stockage de fichiers non conventionnels tels que /dev/shm au lieu de /tmp, le logiciel malveillant minimise son empreinte sur le disque, ce qui le rend plus difficile à tracer et à atténuer.
Cybermenaces pour les environnements conteneurisés
L'un des principaux objectifs de Commando Cat est le déploiement d'un logiciel de minage de crypto-monnaies, tel que XMRig, afin d'exploiter les ressources informatiques des machines infectées à des fins lucratives. Cette charge utile est exécutée après avoir éliminé les processus de minage concurrents, ce qui garantit une efficacité maximale dans l'utilisation des ressources.
Défis en matière d'attribution
Bien que les origines exactes de Commando Cat restent insaisissables, certains indicateurs suggèrent des liens potentiels avec des groupes de cryptojacking connus tels que TeamTNT. Toutefois, il est difficile d'établir avec certitude l'origine de l'attaque en raison de la nature des cyberopérations et de la prévalence des tactiques d'imitation. D'où l'importance de la sécurité des conteneurs Docker, sécuriser les conteneurs Docker est cruciale pour maintenir une cybersécurité robuste dans les environnements informatiques modernes.
Conclusion
En conclusion, Commando Cat représente une menace à multiples facettes, combinant des éléments de vol d'informations d'identification, d'accès à des portes dérobées et de minage de crypto-monnaies en un seul paquet polyvalent. En tant que telles, les campagnes continuent d'évoluer, les meilleures pratiques en matière de sécurité de l'API, telles que l'application de correctifs aux systèmes vulnérables et l'amélioration des protocoles de sécurité, sont essentielles pour atténuer leur impact.
Les sources de cet article comprennent des articles dans The Hacker News et DarkReading.