LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les recherches ont démontré que les acteurs derrière les cryptojacking utilisent des techniques de plus en plus sophistiquées pour infiltrer les systèmes. Ils améliorent également leurs tactiques d'évasion pour contourner les dispositifs de sécurité.
Des débuts avec des techniques courants
Les chercheurs de DevSecOps et de la société et ceux de l'entreprise de sécurité cloud Aqua Security ont documenté les Malware de cryptojacking depuis 2019. Cette année là, ils ont recensé 84 attaques contre leurs serveurs Honeypot.
Ce chiffre est monté à 125 pour le seul dernier trimestre de l'année 2021. Non seulement les attaques se multiplient, mais les acteurs malveillants utilisent des techniques de plus en plus sophistiquées.
Les attaques initiales impliquaient une commande malveillante déployée via une image qui télécharge un script shell. Selon les experts, les organisations font généralement confiance aux images officielles, ce qui facilite l'intrusion des attaquants.
Le script shell lance la séquence d'attaque. Cela permet aux acteurs malveillants de créer un nouveau compte utilisateur et de mettre à niveau leurs privilèges vers un utilisateur racine. Grâce à quoi, les commandes arbitraires sont exécutées sur la machine compromise dans le but de lancer des opérations de cryptojacking.
Amélioration des tactiques d'attaque et d'évasion
Les premières attaques de cryptojacking observées par les chercheurs n'utilisaient aucune technique pour dissimuler le minage. Les mineurs ont par la suite mis en œuvre des tactiques pour échapper à la détection.
Pour contourner la sécurité, les attaquants ont entre autres trouvé la possibilité de désactiver les mécanismes de sécurité et de récupérer un script shell de minage. Kinsing fait partie des acteurs notables derrière le déploiement des cryptomalware.
Le groupe de hackers TeamTNT aurait pour sa part attaqué des serveurs non sécurisés de Redis, une plateforme de données en temps réel. Le gang s'est aussi attaqué à des instances Alibaba Elastic Computing Service (ECS), des API Docker exposées et des clusters Kubernetes.
Ce groupe de pirates exécute du code malveillant avec des privilèges root sur les hôtes ciblés pour déployer des charges utiles d'extraction de cryptomonnaies. Les attaques permettent aussi de voler des informations d'identification. Les hackers ont aussi compromis des comptes Docker Hub pour héberger des images malveillantes utilisées pour distribuer des mineurs de cryptomonnaies.
Se protéger contre des attaques de plus en plus sophistiquées
Selon les chercheurs, les attaquants améliorent continuellement leurs techniques d'intrusion et leur capacité à éviter la détection. Pour se protéger contre ces menaces, les experts recommandent de surveiller les activités suspectes des conteneurs.
Il faudrait également effectuer une analyse d'image dynamique et analyser régulièrement les environnements pour chercher des problèmes de configuration. Au cours des dernières semaines, des failles de sécurité dans la bibliothèque de journalisation Log4j ont été exploitées pour prendre le contrôle de machines en vue d'un cryptojacking.
Il en est de même pour des vulnérabilités nouvellement découvertes dans Atlassian Confluence, F5 BIG-IP, VMware vCenter et Oracle WebLogic Servers. La société informatique QNAP met aussi en garde contre les logiciels malveillants d'extraction de cryptomonnaies ciblant ses appareils.
- Partager l'article :
