Les pirates utilisent le malware LemonDuck pour cibler les instances cloud de Docker
Le boom des prix des crypto-monnaies a considérablement augmenté la demande de crypto mining. L’extraction de crypto, essentiellement, exécute des programmes sur des appareils haut de gamme et gagne de la crypto-monnaie en retour. Certains crypto-mineurs utilisent même des services cloud pour exécuter ces programmes.
Les cybercriminels compromettent désormais les serveurs Cloud et utilisent des robots de minage de crypto, dans ce cas, Logiciel malveillant LemonDuck. Les chercheurs de l’équipe CrowdStrike Cloud Threat Research ont détecté LemonDuck ciblant Docker, un service cloud pour exploiter la crypto-monnaie sur la plate-forme Linux. Cette campagne est actuellement active.
Le malware LemonDuck est un code qui peut provoquer des modifications indésirables et généralement dangereuses de votre système. Il vole les informations d’identification, supprime les contrôles de sécurité, se propage via des e-mails, se déplace latéralement et, en fin de compte, abandonne davantage d’outils pour l’activité humaine.
« En raison du boom de la crypto-monnaie ces dernières années, combiné à l’adoption du cloud et des conteneurs dans les entreprises, le cryptominage s’est avéré être une option financièrement intéressante pour les attaquants. Étant donné que les écosystèmes de cloud et de conteneurs utilisent fortement Linux, cela a attiré l’attention des opérateurs de botnets comme LemonDuck, qui ont commencé à cibler Docker pour le cryptomining sur la plate-forme Linux », ont déclaré les chercheurs dans le blog.
Selon le rapport Google Threat Horizon, 86 % des instances Google Cloud compromises ont été utilisées pour effectuer du minage de crypto-monnaie.
Les chercheurs l’appellent un bot de cryptominage bien connu qui infecte les serveurs Microsoft Exchange pour exploiter la crypto-monnaie. Il augmente les privilèges et se déplace latéralement dans les réseaux compromis. Ce bot tente de monétiser ses efforts via diverses campagnes actives simultanées pour exploiter la crypto-monnaie comme Monero.
Selon les chercheurs, LemonDuck cible les API Docker exposées pour obtenir un accès initial. Il infecte ensuite le système via un fichier image contenant un code malveillant intégré. CrowdStrike a découvert que plusieurs campagnes étaient exploitées par les pirates ciblant simultanément les plates-formes Windows et Linux.
Les chercheurs soulignent que le malware LemonDuck est si puissant qu’il a le potentiel d’échapper au service de surveillance d’Alibaba Cloud qui surveille les instances cloud à la recherche d’activités malveillantes.
«LemonDuck a utilisé une partie de sa vaste opération C2 pour cibler Linux et Docker en plus de ses campagnes Windows. Il a utilisé des techniques pour échapper aux défenses non seulement en utilisant des fichiers déguisés et en tuant le démon de surveillance, mais aussi en désactivant le service de surveillance d’Alibaba Cloud », ont ajouté les chercheurs.
Les chercheurs de CrowdStrike s’attendent à ce que ces types de campagnes augmentent à mesure que l’adoption du cloud continue de croître.