Une nouvelle version d’un malware de cryptomining Linux se concentre désormais sur les nouveaux fournisseurs de services Cloud comme Huawei. Ce logiciel malveillant a précédemment été utilisé pour cibler les conteneurs Docker en 2020.
De nouvelles fonctionnalités en plus des précédentes
Cette nouvelle campagne d’attaque a été analysée par les chercheurs de TrendMicro. Leur rapport explique comment le Malware a évolué avec de nouvelles fonctionnalités, comme la fonction de création de règles de pare-feu. Ceci, tout en conservant les précédentes.
Le Malware continue de supprimer un scanner de réseau pour mapper d’autres hôtes avec des ports pertinents pour l’API. Cependant, la nouvelle version du malware ne cible que les environnements Cloud. Celui-ci recherche et supprime désormais tout autre script de cryptojacking qui aurait pu précédemment infecter le système.
En infectant un système Linux, le Coinminer malveillant supprime les utilisateurs créés par des distributeurs concurrents de logiciels malveillants de cryptomining. Ceci étant, les acteurs ajoutent leurs propres utilisateurs, une étape courante pour de nombreux cryptojackers ciblant le Cloud.
Donner un accès root à l’appareil
Contrairement à de nombreux autres cryptomineurs, le Malware ajoute leurs comptes d’utilisateurs à la liste des sudoers. Cela leur donne un accès root à l’appareil. Les attaquants utilisent leur propre clé ssh-RSA pour s’assurer que la persistance est maintenue sur l’appareil.
Grâce à quoi, les attaquants peuvent effectuer des modifications du système et verrouiller les autorisations de fichier. Cela signifie que personne ne peut prendre le contrôle total de la machine vulnérable. Et ce, même si elle a accès à l’appareil.
Les acteurs installent le service proxy Tor pour protéger les communications de la détection et de l’examen de l’analyse du réseau. Et ce, en passant toutes les connexions à travers lui pour l’anonymisation.
Ajuster les binaires pour les rendre furtifs
Les acteurs ont subi d’autres falsifications pour ajuster les binaires. Et ce, pour qu’ils soient furtifs par rapport à l’ensemble des outils d’analyse et de détection automatisés. Après avoir pris pied sur un appareil, les scripts du pirate exploiteront les systèmes distants pour ensuite les infecter avec les scripts malveillants et le cryptominer.
Huawei Cloud a été informé de la campagne. Les chercheurs soulignent que l’exécution d’évaluations de vulnérabilité et d’analyses de logiciels malveillants peut ne pas suffire à vous défendre contre cette attaque. Les entreprises devraient évaluer le modèle de sécurité de son CSP et ajuster son approche et le compléter par des protections supplémentaires.
Ces mineurs de crypto ciblant le Cloud augmentent depuis le début de l’année. Et tant que les valeurs de crypto montent en flèche, les acteurs seront tentés de les rendre plus puissants et plus difficiles à détecter.
- Partager l'article :