Une nouvelle campagne ciblant les services Docker vulnérables déploie un mineur XMRig et l’application 9hits viewer sur des hôtes compromis, permettant une stratégie de double monétisation.

9hits est une plateforme d’échange de trafic Web où les membres peuvent générer du trafic vers les sites des uns et des autres.

Ce trafic est généré par une application de visualisation 9hits installée sur les appareils des membres, qui utilise une instance Chrome sans tête pour visiter les sites Web demandés par d’autres membres. En retour, ces utilisateurs gagnent des crédits, qui peuvent être utilisés pour payer le trafic vers leurs propres sites.

Dans une campagne découverte par Cado Security, les attaquants déploient l’application 9hits viewer sur des hôtes Docker compromis pour générer des crédits pour eux-mêmes, exploitant les ressources de ces systèmes pour générer du trafic dans le cadre du système d’échange de trafic 9hits.

« Il s’agit du premier cas documenté de malware déployant l’application 9hits en tant que charge utile », explique un rapport de Cado Security partagé avec Breachtrace.

Détails de l’attaque
Bien qu’il ne soit pas clair comment les auteurs de la menace trouvent les systèmes à violer, Cado pense que les attaquants utilisent probablement un produit d’analyse de réseau comme Shodan pour découvrir des serveurs vulnérables et les violer pour déployer des conteneurs malveillants via l’API Docker.

Les conteneurs sont dans des images provenant de Dockerhub pour réduire les soupçons. Le script d’épandage capturé dans le pot de miel Docker de Cado utilise la CLI de Docker pour définir la variable DOCKER_HOST et utilise des appels d’API typiques pour extraire et exécuter les conteneurs.

Le conteneur 9hits exécute un script (nh.sh) avec un jeton de session, lui permettant de s’authentifier et de générer des crédits pour l’attaquant en visitant une liste de sites Web.

Le système de jetons de session est conçu pour fonctionner en toute sécurité, même dans des environnements non fiables, permettant à l’attaquant de générer des profits sans risquer d’être banni.

Processus exécutés par le conteneur hits

Les attaquants ont défini des arguments spécifiques pour l’application 9hits, tels que l’autorisation des fenêtres contextuelles ou la visite de sites pour adultes, mais l’interdiction des sites liés à la crypto-monnaie.

L’autre conteneur exécute un mineur XMRig qui extrait la crypto-monnaie Monero pour l’attaquant, en utilisant les ressources du système cloud.

Le mineur se connecte à un pool minier privé, ce qui rend impossible de retracer l’ampleur ou les bénéfices de la campagne. Cado note que le domaine utilisé pour le pool de minage suggère que l’attaquant pourrait utiliser des services DNS dynamiques pour maintenir le contrôle.

« Le principal impact de cette campagne sur les hôtes compromis est l’épuisement des ressources, car le mineur XMRig utilisera toutes les ressources CPU disponibles, tandis que 9hits utilisera une grande quantité de bande passante, de mémoire et le peu de CPU restant », commente Cado Security dans le rapport.

« Le résultat est que les charges de travail légitimes sur les serveurs infectés ne pourront pas fonctionner comme prévu. »

La campagne découverte par Cado montre que les acteurs de la menace explorent constamment des canaux de monétisation alternatifs au-delà des méthodes traditionnelles telles que la cryptographie, diversifient leurs attaques et suivent des voies plus secrètes.

Les plateformes exploitées par des acteurs de la menace, tels que 9hits, nécessitent des contrôles et des politiques de sécurité plus stricts pour empêcher l’utilisation non autorisée de leurs applications qui peut causer des dommages financiers et perturber les organisations.

Les entités qui investissent dans des environnements de cloud computing sont appelées à naviguer dans un paysage compliqué.

Pour y parvenir, il faut utiliser des modèles de confiance zéro, des plates-formes de protection de la charge de travail dans le Cloud (CWPP) et une Gestion de la posture de sécurité dans le Cloud (CSPM) pour améliorer la visibilité, gérer les configurations et protéger les actifs exposés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *