Des acteurs malveillants tels que Kinsing profitent des failles de sécurité récemment révélées et plus anciennes dans Oracle WebLogic Server pour fournir des logiciels malveillants d’extraction de crypto-monnaie.
La société de cybersécurité Trend Micro l’a dit trouvé le groupe à motivation financière tirant parti de la vulnérabilité pour supprimer les scripts Python avec des capacités pour désactiver les fonctionnalités de sécurité du système d’exploitation (OS) telles que Security-Enhanced Linux (SELinux), et d’autres.
Les opérateurs derrière le Logiciel malveillant Kinsing avoir un historique de recherche de serveurs vulnérables pour les coopter dans un botnet, y compris celui de Redis, Pile de selLog4Shell, Spring4Shell et la faille Atlassian Confluence (CVE-2022-26134).
Les acteurs de Kinsing ont également été impliqués dans des campagnes contre les environnements de conteneurs via ports API Docker Daemon ouverts mal configurés pour lancer un crypto-mineur et ensuite propager le malware à d’autres conteneurs et hôtes.
La dernière vague d’attaques implique l’armement de l’acteur CVE-2020-14882 (score CVSS : 9,8), un bogue d’exécution de code à distance (RCE) vieux de deux ans, contre des serveurs non corrigés pour prendre le contrôle du serveur et supprimer les charges utiles malveillantes.
Il convient de noter que la vulnérabilité a été exploitée dans le passé par plusieurs botnets pour distribuer les mineurs Monero et la porte dérobée Tsunami sur les systèmes Linux infectés.
L’exploitation réussie de la faille a été suivie par le déploiement d’un script shell responsable d’une série d’actions : suppression du /var/log/syslog journal système, désactivant les fonctions de sécurité et les agents de service cloud d’Alibaba et de Tencent, et tuant les processus de minage concurrents.
Le script shell procède ensuite au téléchargement du logiciel malveillant Kinsing à partir d’un serveur distant, tout en prenant des mesures pour assurer la persistance au moyen d’une tâche cron.
« L’exploitation réussie de cette vulnérabilité peut conduire à RCE, qui peut permettre aux attaquants d’effectuer une pléthore d’activités malveillantes sur les systèmes affectés », a déclaré Trend Micro. « Cela peut aller de l’exécution de logiciels malveillants […] au vol de données critiques, et même au contrôle complet d’une machine compromise. »
Les acteurs de TeamTNT font leur grand retour avec Kangaroo Attack
Le développement intervient alors que les chercheurs d’Aqua Security ont identifié trois nouvelles attaques liées à un autre groupe de cryptojacking « vibrant » appelé TeamTNT, qui a volontairement fermé ses portes en novembre 2021.
« TeamTNT a recherché un démon Docker mal configuré et déployé alpine, une image de conteneur vanille, avec une ligne de commande pour télécharger un script shell (k.sh) sur un serveur C2 », a déclaré le chercheur d’Aqua Security, Assaf Morag. a dit.
Ce qui est remarquable à propos de la chaîne d’attaque, c’est qu’elle semble être conçue pour briser Cryptage SECP256K1, qui, en cas de succès, pourrait donner à l’acteur la possibilité de calculer les clés de n’importe quel portefeuille de crypto-monnaie. Autrement dit, l’idée est de tirer parti de la puissance de calcul élevée mais illégale de ses cibles pour exécuter le solveur ECDLP et obtenir la clé.
Deux autres attaques montées par le groupe impliquent l’exploitation de serveurs Redis exposés et des API Docker mal configurées pour déployer des mineurs de pièces et des binaires Tsunami.
Le ciblage par TeamTNT des API Docker REST a été bien documenté au cours de la dernière année. Mais dans un erreur de sécurité opérationnelle repéré par Trend Micro, les informations d’identification associées à deux des comptes DockerHub contrôlés par l’attaquant ont été découvertes.
Les comptes – alpineos et sandeep078 – auraient été utilisés pour distribuer une variété de charges utiles malveillantes telles que des rootkits, des kits d’exploitation Kubernetes, des voleurs d’informations d’identification, des mineurs XMRig Monero et même le malware Kinsing.
« Le compte alpineos a été utilisé à trois reprises dans des tentatives d’exploitation de nos pots de miel, de la mi-septembre au début octobre 2021, et nous avons suivi les adresses IP des déploiements jusqu’à leur emplacement en Allemagne », a déclaré Nitesh Surana de Trend Micro. a dit.
« Les acteurs de la menace étaient connectés à leurs comptes sur le registre DockerHub et ont probablement oublié de se déconnecter. » Alternativement, « les acteurs de la menace se sont connectés à leur compte DockerHub en utilisant les informations d’identification d’alpineos ».
Trend Micro a déclaré que l’image alpineos malveillante avait été téléchargée plus de 150 000 fois, ajoutant qu’elle avait informé Docker de ces comptes.
Il recommande également aux organisations de configurer l’API REST exposée avec TLS pour atténuer les attaques de l’adversaire au milieu (AiTM), ainsi que d’utiliser les magasins d’informations d’identification et aides pour héberger les informations d’identification de l’utilisateur.