Les experts en cybersécurité viennent de dévoiler une menace croissante visant les APIs Docker exposées, utilisées par les cybercriminels pour le minage de cryptomonnaies. Cette nouvelle forme de malware soulève des questions cruciales sur la sécurité des infrastructures cloud et la protection des données.
Analyse de la campagne de malware
Découverte et fonctionnement du malware
La campagne de malware, dévoilée par la plateforme d’analyse cloud Datadog, cible spécifiquement les endpoints d’API Docker vulnérables pour y déployer des mineurs de cryptomonnaie et d’autres charges utiles malveillantes. Les analyses révèlent des similarités tactiques avec une activité antérieure nommée Spinning YARN, qui visait également des services mal configurés tels que Apache Hadoop YARN et Atlassian Confluence. Le mode opératoire commence par l’identification des serveurs Docker avec des ports ouverts, notamment le port 2375, suivie d’une série de démarches incluant la reconnaissance et l’escalade des privilèges.
Techniques de propagation et outils utilisés
Les cyberattaquants utilisent une infrastructure contrôlée par l’adversaire pour exécuter un script shell nommé « vurl », qui lance d’autres scripts responsables de charger de nouvelles charges malveillantes. Matt Muir, un chercheur en sécurité, précise que la complexification des attaques se manifeste par le passage du code shell au code Go, rendant l’analyse statique plus ardue et potentiellement, brouillant les pistes des analyses de cybersécurité.
Réponses et implications de la découverte
Protections et mesures préventives
Face à ces menaces, il est indispensable de renforcer la sécurité des ports et de surveiller attentivement l’exposition des API. Désactiver inutilement les ports exposés et utiliser des outils de détection de vulnérabilités réseau peut considérablement diminuer le risque d’infection.
Innovations en matière de tactiques malveillantes
La mise à jour des procédés d’infection démontre une évolution des techniques utilisées par les cyberattaquants, marquant un passage du scripting à des applications compilées en Go, ce qui complique la tâche des analystes en sécurité et indique une possible préparation pour des attaques sur différentes architectures.
Si cet exemple de campagne démontre la persistance des risques liés aux configurations non sécurisées, chez CyberCare, nous développons des solutions personnalisées de cybersécurité pour protéger efficacement vos infrastructures contre des menaces similaires et assurer une gestion optimale de la sécurité de vos systèmes d’information.
