Actus

Le groupe de piratage WatchDog lance une nouvelle campagne de cryptojacking Docker

Par , le 4 juin 2022 - 4 minutes de lecture
Le groupe de piratage WatchDog lance une nouvelle campagne de cryptojacking Docker
Notez l'article

Le groupe de piratage WatchDog mène une nouvelle campagne de cryptojacking avec des techniques avancées d’intrusion, de propagation de type ver et d’évasion des logiciels de sécurité.

Le groupe de piratage cible les points de terminaison de l’API Docker Engine et les serveurs Redis exposés et peut rapidement passer d’une machine compromise à l’ensemble du réseau.

L’objectif des acteurs de la menace est de générer des profits en exploitant la crypto-monnaie en utilisant les ressources de calcul disponibles sur des serveurs mal sécurisés.

Les chercheurs de Cado Labs ont découvert la nouvelle campagne de piratage, analysant les tactiques distinctives de l’acteur menaçant et sont confiants quant à leur attribution à WatchDog.

Une attaque en plusieurs étapes

Une attaque en plusieurs étapes

WatchDog lance les attaques en compromettant les points de terminaison de l’API Docker Engine mal configurés avec un port ouvert 2375, leur donnant accès au démon dans les paramètres par défaut.

À partir de là, WatchDog peut répertorier ou modifier les conteneurs et exécuter des commandes shell arbitraires sur ceux-ci. Le premier script shell exécuté par les pirates est “cronb.sh” qui vérifie l’état d’infection de l’hôte, répertorie les processus et récupère la charge utile de deuxième étape, “ar.sh”.

Ce deuxième script utilise le piratage de la commande ps pour exécuter un script shell de masquage de processus. De plus, il effectue une manipulation d’horodatage (“horodatage”) sur les journaux d’exécution du shell pour induire en erreur les experts médico-légaux.

Cette charge utile contient également un outil de suppression Alibaba Cloud Agent pour désactiver le système de sécurité sur le service cloud particulier.

Enfin, une charge utile de mineur XMRig est déposée sur la machine compromise et une unité de service systemd est ajoutée pour la persistance. Pour que tout cela se produise, le compte d’utilisateur utilisé par les pirates doit disposer des privilèges root.

La charge utile de troisième étape intègre zgrab, masscan et pnscan pour rechercher sur le réseau des points de pivot valides et télécharge les deux derniers scripts responsables de la propagation, “c.sh” et “d.sh”.

Ceux-ci sont stockés dans un répertoire nouvellement créé nommé “…”, qui est facile à manquer en raison de son apparence similaire à l’alias du répertoire parent, ce qui le rend plus susceptible d’être ignoré lors d’une inspection.

Le premier script, “c.sh”, désactive SELinux et configure “ulimit” et “iptables” pour établir la communication avec les serveurs Redis du réseau tout en coupant tout autre accès depuis l’extérieur.

Le deuxième script, “d.sh”, est similaire, mais au lieu de Redis, il cible d’autres points de terminaison de l’API Docker Engine et les infecte avec un conteneur Alpine Linux lacé qui exécute le script d’accès initial, “cronb.sh”.

Attribution

Attribution

De nombreux scripts utilisés par WatchDog contiennent des logos et des références pour un groupe de piratage rival connu sous le nom de TeamTNT, indiquant que WatchDog a probablement volé les outils de leur rival.

Cado met en évidence plusieurs points forts qui indiquent un chevauchement avec la campagne 2021 de WatchDog, comme l’utilisation de la même adresse de portefeuille Monero pour l’exploitation minière, l’utilisation de la dénomination de répertoire b2f628 dans les URL et l’utilisation du domaine supérieur oracle zzhreceive[.]et l’utilisation de 1.0.4.tar. gz pour la livraison de la charge utile.

De plus, les acteurs évitent désormais d’utiliser les charges utiles Golang que Cado Security leur a liées de manière unique, encore un autre indice d’attribution.

  • ROCKRIDER Vélo VTT semi rigide Rockrider XC 100 29 pouces bleu - ROCKRIDER - M - 165-174 cm
    Ce VTT est conçu pour se lancer dans la pratique du VTT Cross Country (XC). - Accélérez! Géométrie spécifique XC, groupe Shimano Deore 11, roues tubeless.Grâce à la nouvelle transmission Shimano Deore 11 vitesses.Passez facilement les obstacles grâce à la fourche Manitou Markhor 100 mm.VTT léger avec son cadre en alu à moins de 1500 grammes et ses roues tubeless.Maîtrisez votre vélo avec les freins à disques Tektro M 276 en 180 mm & 160 mm.Garantie à vie sur le cadre.
  • ROCKRIDER Vélo VTT semi rigide Rockrider XC 100 29 pouces bleu - ROCKRIDER - S - 150-164 cm
    Ce VTT est conçu pour se lancer dans la pratique du VTT Cross Country (XC). - Accélérez! Géométrie spécifique XC, groupe Shimano Deore 11, roues tubeless.Grâce à la nouvelle transmission Shimano Deore 11 vitesses.Passez facilement les obstacles grâce à la fourche Manitou Markhor 100 mm.VTT léger avec son cadre en alu à moins de 1500 grammes et ses roues tubeless.Maîtrisez votre vélo avec les freins à disques Tektro M 276 en 180 mm & 160 mm.Garantie à vie sur le cadre.
  • ROCKRIDER Vélo VTT semi rigide Rockrider XC 100 29 pouces bleu - ROCKRIDER - L - 175-184 cm
    Ce VTT est conçu pour se lancer dans la pratique du VTT Cross Country (XC). - Accélérez! Géométrie spécifique XC, groupe Shimano Deore 11, roues tubeless.Grâce à la nouvelle transmission Shimano Deore 11 vitesses.Passez facilement les obstacles grâce à la fourche Manitou Markhor 100 mm.VTT léger avec son cadre en alu à moins de 1500 grammes et ses roues tubeless.Maîtrisez votre vélo avec les freins à disques Tektro M 276 en 180 mm & 160 mm.Garantie à vie sur le cadre.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.