Les attaquants à l’origine d’une série continue d’attaques de proxyjacking piratent des serveurs SSH vulnérables exposés en ligne pour les monétiser via des services proxyware qui paient pour le partage de la bande passante Internet inutilisée.
À l’instar du cryptojacking, qui permet aux attaquants d’utiliser des systèmes piratés pour extraire de la crypto-monnaie, le proxyjacking est une tactique à faible effort et très gratifiante consistant à extraire les ressources des appareils compromis.
Cependant, le proxyjacking est plus difficile à détecter car il ne s’attaque qu’à la bande passante inutilisée des systèmes piratés et n’affecte pas leur stabilité et leur convivialité globales.
Alors que les acteurs de la menace peuvent également utiliser des appareils piratés pour configurer des proxys qui peuvent les aider à masquer leurs traces et à masquer les activités malveillantes, les cybercriminels à l’origine de cette campagne ne s’intéressaient qu’à la monétisation via des services commerciaux de proxyware.
« Il s’agit d’une campagne active dans laquelle l’attaquant exploite SSH pour l’accès à distance, exécutant des scripts malveillants qui enrôlent furtivement les serveurs victimes dans un réseau proxy peer-to-peer (P2P), tel que Peer2Proxy ou Honeygain », a déclaré Allen West, chercheur en sécurité d’Akamai. .
« Cela permet à l’attaquant de monétiser la bande passante supplémentaire d’une victime sans méfiance, avec seulement une fraction de la charge de ressources qui serait nécessaire pour le cryptominage, avec moins de chance de découverte. »
En enquêtant sur cette campagne, Akamai a trouvé une liste contenant l’adresse IP qui a lancé l’enquête et au moins 16 500 autres proxys partagés sur un forum en ligne.
Services proxy et conteneurs Docker
Akamai a repéré les attaques pour la première fois le 8 juin après que plusieurs connexions SSH ont été établies vers des pots de miel gérés par l’équipe SIRT (Security Intelligence Response Team) de l’entreprise.
Une fois connectés à l’un des serveurs SSH vulnérables, les attaquants ont déployé un script Bash encodé en Base64 qui a ajouté les systèmes piratés aux réseaux proxy de Honeygain ou Peer2Profit.
Le script configure également un conteneur en téléchargeant des images Peer2Profit ou Honeygain Docker et en tuant les conteneurs de partage de bande passante d’autres rivaux.
Akamai a également trouvé des cryptomineurs utilisés dans des attaques de cryptojacking, des exploits et des outils de piratage sur le serveur compromis utilisé pour stocker le script malveillant. Cela suggère que les acteurs de la menace ont soit complètement pivoté vers le proxyjacking, soit l’ont utilisé pour un revenu passif supplémentaire.
« Le proxyjacking est devenu le moyen le plus récent pour les cybercriminels de gagner de l’argent à partir d’appareils compromis à la fois dans un écosystème d’entreprise et dans l’écosystème des consommateurs », a déclaré West.
« Il s’agit d’une alternative plus furtive au cryptojacking et a de sérieuses implications qui peuvent augmenter les maux de tête que les attaques proxy de la couche 7 servent déjà. »
Il ne s’agit que de l’une des nombreuses campagnes similaires qui inscrivent les systèmes qu’ils compromettent dans des services de proxyware comme Honeygain, Nanowire, Peer2Profit, IPRoyal et autres, comme Cisco Talos et Ahnlab l’ont précédemment rapporté.
En avril, Sysdig a également repéré des proxyjackers exploitant la vulnérabilité Log4j pour l’accès initial, leur permettant de réaliser des bénéfices allant jusqu’à 1 000 $ pour 100 appareils ajoutés à leur botnet proxyware.