Alibaba Cloud ciblé par un Malware de cryptomining

Alibaba Cloud ciblé par un Malware de cryptomining

Les cybercriminels ciblent les instances Alibaba Elastic Computing Service (ECS) avec un Malware de cryptomining. Ils désactivent certaines fonctionnalités de sécurité pour le cryptojacking Monero.

Créer de nouvelles règles de pare-feu, la tactique des attaquants

Selon les recherches de Trend Micro, le Cloud du géant chinois dispose d'un agent de sécurité préinstallé. La désactivation de la sécurité ne relève pas d'une nouvelle tactique. Dans ce cas précis, les attaquants utilisent un petit morceau de code spécifique dans le Malware de cryptomining pour créer de nouvelles règles de pare-feu.

Ils demandent notamment aux filtres de sécurité de supprimer les paquets entrants des plages d'adresses IP appartenant aux zones et régions internes d'Alibaba. En règle générale, l'agent de sécurité envoie une notification à l'utilisateur indiquant l'exécution en cours d'un script malveillant  lorsqu'un Malware de cryptojacking est installé dans un compartiment Alibaba ECS,

Mais ici, l'agent de sécurité ne parvient pas à nettoyer le compromis en cours. L'analyse montre d'ailleurs qu'il est désinstallé avant de pouvoir déclencher une alerte de compromission.

Alibaba : un système de sécurité qui profite aux cybercriminels ?

Alibaba Cloud ciblé par un Malware de cryptomining

Une fois la fonction de sécurité dépassée, le Malware installe le cryptominer XMRig standard, qui exploite pour Monero. Les cryptojackers entrent en tant qu'utilisateurs racine par défaut.

L'instance par défaut d'Alibaba ECS fournit un accès root. Avec Alibaba, tous les utilisateurs ont la possibilité de donner un mot de passe directement à l'utilisateur root à l'intérieur de la machine virtuelle (VM). 

Cela ouvre la porte au déploiement de charges utiles avancées telles que les rootkits de modules de noyau. Cette fonctionnalité permet également l'établissement de la persistance via des services en cours d'exécution.

Ce système contraste avec la façon dont d'autres fournisseurs de services Cloud structurent leur accès au stockage. Dans la plupart des cas, le principe du moindre privilège est au premier plan. Cela complique l'accès aux cybercriminels même s'ils obtiennent des informations d'identification. 

Alibaba Cloud : un cible privilégié des cryptojackers

Dans un compartiment par défaut d'Alibaba ECS, un attaquant avec des informations d'identification volées ou un exploit de compromis initial fonctionnel entrerait avec les privilèges les plus élevés possibles. Compte tenu de cette fonctionnalité, les acteurs malveillants ciblent facilement Alibaba Cloud ECS.

Pour ce faire, les hackers insèrent un extrait de code pour supprimer les logiciels trouvés uniquement dans Alibaba ECS. Alibaba ECS disposerait également d'une fonction de mise à l'échelle automatique. Aussi, le service étendra automatiquement la disponibilité des ressources informatiques en fonction de la demande. 

Cela donne aux cryptomineurs des ressources illimitées. En outre, le code du Malware est modulaire. Par conséquent, le cryptomineur peut facilement être remplacé par un autre Malware à exécuter dans l'environnement. Ce Malware peut potentiellement augmenter leurs bénéfices ou se propager à d'autres charges de travail et points de terminaison

Newsletter

Envie de ne louper aucun de nos articles ? Abonnez vous pour recevoir chaque semaine les meilleurs actualités avant tout le monde.

Cliquez pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *