ClickCease Commando Cat Attacks : Protégez les API Docker exposées dès aujourd'hui

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Commando Cat Attacks : Protégez les API Docker exposées dès aujourd'hui

Wajahat Raja

Le 14 février 2024 - L'équipe d'experts de TuxCare

Les risques liés aux API Docker exposées constituent des menaces importantes pour la sécurité des entreprises qui utilisent la technologie des conteneurs. Au cours des derniers mois, une opération sophistiquée de cryptojacking baptisée Commando Cat s'est révélée être une menace puissante pour la sécurité des sécurité des API Docker Docker accessible sur l'internet. Cette campagne, décrite par les chercheurs en sécurité de Cado, Nate Bill et Matt Muir, témoigne d'une tendance inquiétante dans les cybermenaces ciblant les hôtes Docker vulnérables.

 

Comprendre le chat Commando


Commando Cat utilise Docker comme passerelle pour infiltrer les systèmes, en déployant un conteneur bénin créé par le projet Commando. Une fois à l'intérieur, l'attaquant orchestre une série d'actions malveillantes, notamment en s'échappant du conteneur pour exécuter plusieurs charges utiles sur l'hôte Docker.
Violation de l'API Docker de Docker nécessite des mesures de sécurité proactives et une surveillance vigilante afin de se prémunir contre les vulnérabilités potentielles.


Calendrier des activités


Cyberattaques sur le thème des chats
cyberattaques sur le thème du chat ajoutent une touche unique au paysage en constante évolution des menaces de cybersécurité. On pense qu'il est opérationnel depuis le début de l'année 2024, Commando Cat suit de près des campagnes similaires. En janvier de la même année, un autre groupe d'activités malveillantes visant à exploiter les hôtes Docker vulnérables a été mis au jour, soulignant la prévalence croissante de ces menaces.


Modus Operandi


Le modus operandi du
Commando Cat consiste à tirer parti de Docker pour initier l'accès et livrer une série de charges utiles interconnectées à partir d'un serveur contrôlé par l'attaquant. Ces charges utiles englobent toute une série d'activités néfastes, allant de l'établissement de la persistance et du backdooring de l'hôte à l'exfiltration des informations d'identification des fournisseurs de services cloud et au lancement d'opérations de minage de crypto-monnaies.


Échapper à l'enfermement


Un aspect notable de la stratégie de Commando Cat est sa capacité à échapper aux contraintes du conteneur à l'aide de la commande chroot, ce qui lui permet d'étendre son champ d'action au sein du système hôte. Cette manœuvre permet à l'attaquant d'exécuter d'autres commandes et d'élever ses privilèges, ce qui amplifie l'impact de la cyberattaque de Commando Cat.
attaque Commando Cat.


Identifier les vulnérabilités des conteneurs


Après avoir pris pied dans les instances Docker sensibles, Commando Cat procède à une reconnaissance approfondie, en vérifiant la présence de services actifs spécifiques tels que
"ys-kernel-debugger", "gsc", "c3pool_miner", etc. et "dockercache". Cette approche méticuleuse garantit que l'attaque ne se déroule que dans des conditions optimales, maximisant ainsi ses chances de réussite.


Exploiter les faiblesses


Les étapes suivantes de l'attaque consistent à déployer des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle, notamment des scripts shell capables de créer des portes dérobées, d'ajouter des clés SSH et d'établir des comptes d'utilisateurs malhonnêtes avec des privilèges élevés. Ces actions ouvrent effectivement la voie à un accès et un contrôle prolongés sur le système compromis.


Tactiques d'évasion


La cybersécurité des conteneurs Docker
est essentielle dans le paysage numérique actuel. Commando Cat utilise diverses tactiques d'évasion pour déjouer la détection et l'analyse médico-légale. En utilisant des emplacements de stockage de fichiers non conventionnels tels que /dev/shm au lieu de /tmp, le logiciel malveillant minimise son empreinte sur le disque, ce qui le rend plus difficile à tracer et à atténuer.


Cybermenaces pour les environnements conteneurisés


L'un des principaux objectifs de Commando Cat est le déploiement d'un logiciel de minage de crypto-monnaies, tel que XMRig, afin d'exploiter les ressources informatiques des machines infectées à des fins lucratives. Cette charge utile est exécutée après avoir éliminé les processus de minage concurrents, ce qui garantit une efficacité maximale dans l'utilisation des ressources.


Défis en matière d'attribution


Bien que les origines exactes de
Commando Cat restent insaisissables, certains indicateurs suggèrent des liens potentiels avec des groupes de cryptojacking connus tels que TeamTNT. Toutefois, il est difficile d'établir avec certitude l'origine de l'attaque en raison de la nature des cyberopérations et de la prévalence des tactiques d'imitation. D'où l'importance de la sécurité des conteneurs Docker, sécuriser les conteneurs Docker est cruciale pour maintenir une cybersécurité robuste dans les environnements informatiques modernes.


Conclusion


En conclusion,
Commando Cat représente une menace à multiples facettes, combinant des éléments de vol d'informations d'identification, d'accès à des portes dérobées et de minage de crypto-monnaies en un seul paquet polyvalent. En tant que telles, les campagnes continuent d'évoluer, les meilleures pratiques en matière de sécurité de l'API, telles que l'application de correctifs aux systèmes vulnérables et l'amélioration des protocoles de sécurité, sont essentielles pour atténuer leur impact.

 

Les sources de cet article comprennent des articles dans The Hacker News et DarkReading.

 

Résumé
Commando Cat Attacks : Protégez les API Docker exposées dès aujourd'hui
Nom de l'article
Commando Cat Attacks : Protégez les API Docker exposées dès aujourd'hui
Description
Apprenez à vous défendre contre les attaques Commando Cat ciblant les API Docker exposées. Restez en sécurité et protégez vos systèmes contre les cybermenaces.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information