Démêler la menace d'une nouvelle campagne de logiciels malveillants pour Docker
Ces derniers temps, les services Docker sont devenus un point focal pour les acteurs malveillants à la recherche de moyens innovants pour monétiser leurs exploits. Une récente découverte de la société de sécurité cloud Cado dévoile une nouvelle campagne de logiciels malveillants Docker qui utilise une double approche, à savoir le mineur de crypto-monnaie XMRig et le logiciel 9Hits Viewer. Cela marque un changement significatif dans les tactiques employées par les adversaires, montrant leurs efforts continus pour diversifier les stratégies et capitaliser sur les hôtes compromis.
La visionneuse de 9Hits comme charge utile d'un logiciel malveillant
Un aspect frappant de cette campagne est le déploiement de l'application 9Hits en tant que charge utile. Présentée comme une "solution unique de trafic web", 9Hits se présente comme un "échange automatique de trafic" où les membres peuvent augmenter le trafic de leur site web en gagnant des crédits par le biais d'une instance de navigateur Chrome sans tête, judicieusement nommée 9Hits Viewer. Cette évolution souligne la capacité d'adaptation des acteurs de la menace, toujours à la recherche de nouveaux moyens d'exploiter les systèmes compromis.
Bien que la méthode exacte de diffusion du logiciel malveillant aux hôtes Docker vulnérables ne soit pas claire, les soupçons portent sur l'utilisation de moteurs de recherche tels que Shodan pour identifier les cibles potentielles. Une fois identifiés, les serveurs sont pénétrés pour déployer deux conteneurs malveillants via l'API Docker, en exploitant des images prêtes à l'emploi de la bibliothèque Docker Hub pour les logiciels 9Hits et XMRig.
Vecteur d'attaque des logiciels malveillants Docker
Plutôt que d'opter pour des images personnalisées, les acteurs de la menace utilisent des images génériques de Docker Hub, une tactique courante dans les campagnes ciblant Docker. Cette technique garantit que les photos génériques peuvent être consultées et utilisées aux fins des attaquants. En extrayant une liste de sites web à visiter et en s'authentifiant auprès de 9Hits à l'aide du jeton de session, le conteneur 9Hits exécute du code pour produire des crédits. Simultanément, le mineur XMRig, résidant dans un autre conteneur, se connecte à un pool minier privé, masquant ainsi l'ampleur et la rentabilité de la campagne.
Impacts sur les hôtes Docker compromis
Pour les hôtes compromis, cette campagne a des effets considérables. L'épuisement des ressources est un problème majeur, le mineur XMRig monopolisant les ressources de l'unité centrale et 9Hits consommant une grande partie de la bande passante et de la mémoire. Sur les serveurs corrompus, les charges de travail légitimes connaissent des problèmes de performance qui interfèrent avec les opérations régulières. En outre, il existe un potentiel pour des violations plus graves, car la campagne pourrait évoluer pour laisser un shell distant sur le système, amplifiant le risque d'accès non autorisé.
Il est primordial de protéger les environnements Docker contre les menaces en constante évolution, telles que la campagne de logiciels malveillants Docker dont il a été question. Les acteurs de la menace continuant d'adapter et de diversifier leurs tactiques, il est crucial de rester informé et de mettre en œuvre des mesures de sécurité robustes. Les organisations doivent rester vigilantes, mettre à jour et patcher régulièrement leurs systèmes, et utiliser les meilleures pratiques de sécurité pour renforcer leurs environnements Docker contre les menaces émergentes.
Les sources de cet article comprennent un article de TheHackerNews.