Campagne Silentbob : Les environnements natifs dans le cloud attaqués
- , le 8 juillet 2023
- 13 h 43 min
Des chercheurs en cybersécurité ont mis au jour une infrastructure d’attaque utilisée dans le cadre d’une « campagne potentiellement massive » contre les environnements natifs de l’informatique en nuage.
« Cette infrastructure en est aux premiers stades de test et de déploiement, et correspond principalement à un ver de nuage agressif, conçu pour se déployer sur les API JupyterLab et Docker exposées afin de déployer le logiciel malveillant Tsunami, le détournement d’identifiants de nuage, le détournement de ressources et la poursuite de l’infestation du ver », a déclaré l’entreprise de sécurité de nuage Aqua.
L’activité, baptisée Silentbob en référence à un domaine AnonDNS mis en place par l’attaquant, serait liée au tristement célèbre groupe de cryptojacking TeamTNT, citant des chevauchements dans les tactiques, les techniques et les procédures (TTP). Toutefois, l’implication d’un « imitateur avancé » n’a pas été exclue.
L’enquête d’Aqua a été déclenchée à la suite d’une attaque ciblant son pot de miel au début du mois de juin 2023, qui a conduit à la découverte de quatre images de conteneurs malveillants conçus pour détecter les instances Docker et Jupyter Lab exposées et déployer un mineur de crypto-monnaie ainsi que la porte dérobée Tsunami.
Cet exploit est réalisé au moyen d’un script shell programmé pour être lancé au démarrage du conteneur et utilisé pour déployer le scanner ZGrab basé sur Go afin de localiser les serveurs mal configurés. Docker a depuis retiré les images du registre public.
shanidmk/sysapp, en plus d’exécuter un mineur de crypto-monnaie sur l’hôte infecté, est configuré pour télécharger et exécuter des binaires supplémentaires qui, selon Aqua, pourraient être des mineurs de crypto-monnaie de secours ou le logiciel malveillant Tsunami.
Le conteneur télécharge également un fichier nommé « aws.sh.txt », un script probablement conçu pour analyser systématiquement l’environnement à la recherche de clés AWS en vue d’une exfiltration ultérieure.
Aqua a déclaré avoir trouvé 51 serveurs avec des instances JupyterLab exposées dans la nature, qui ont tous été activement exploités ou ont montré des signes d’exploitation par des acteurs de la menace. Cela inclut une « attaque manuelle en direct sur l’un des serveurs qui a utilisé masscan pour scanner les API Docker exposées ».
« Au départ, l’attaquant identifie un serveur mal configuré (API Docker ou JupyterLab) et déploie un conteneur ou utilise l’interface de ligne de commande (CLI) pour rechercher et identifier d’autres victimes », expliquent les chercheurs en sécurité Ofek Itach et Assaf Morag.
« Ce processus est conçu pour propager le logiciel malveillant à un nombre croissant de serveurs. La charge utile secondaire de cette attaque comprend un mineur de crypto-monnaie et une porte dérobée, cette dernière utilisant le logiciel malveillant Tsunami comme arme de choix. »
