Bénéficier d’une réduction pour les groupes de +2 personnes de la même entreprise.
Cybersécurité + Cybercrime Sid Ahmed Djellali today28/04/2022
Au milieu de la campagne de logiciels malveillants en cours, les analystes de la cybersécurité de Crowdstrike affirment que LemonDuck utilise l’outil de ligne de commande Docker pour déployer un botnet minier multiplateforme sur le système d’exploitation Linux qui utilise une approche multiplateforme pour extraire les crypto-monnaies.
En bref, les attaquants ciblent activement Docker pour exploiter les crypto-monnaies sur les systèmes Linux. Initialement, les chercheurs de Trend Micro ont découvert le malware de crypto-minage Lemon_Duck en juin 2019 alors qu’ils testaient des réseaux d’entreprise capables de lui voler des crypto-monnaies.
Lorsqu’il est découvert pour la première fois, le bot accède au service MS SQL via :
CrowdStrike a détecté une récente campagne de logiciels malveillants qui exploitait les API Docker exposées pour accéder à d’autres ressources.
Les pirates utilisent principalement les API Docker exposées comme vecteurs d’accès initiaux. Bien que le but de cette attaque soit de lancer un conteneur malveillant pour obtenir un fichier de script shell Bash à partir d’un serveur distant déguisé en fichier PNG inoffensif.
L’API ci-dessus peut être mise à la disposition de tous les développeurs locaux en utilisant un socket ou un démon Linux, et par défaut 2375 est le port.
Les domaines LemonDuck sont associés à des compte-gouttes comme des fichiers image depuis au moins janvier 2021. Les données historiques montrent que les acteurs de la menace utilisent ce type de compte-gouttes depuis lors.
Ci-dessous, nous avons mentionné toutes les opérations effectuées par le fichier Bash (a.asp):-
En plus des modifications, la charge utile des logiciels malveillants reste concentrée sur les cibles suivantes tout en se concentrant sur Amazon Web Services (AWS) :
Pour déployer le mineur de crypto-monnaie pour la tentative de minage, un shell Web personnalisé est utilisé. Cependant, le pare-feu doit être à nouveau désactivé pour arrêter d’autres programmes de minage de monnaie virtuelle.
Written by: Sid Ahmed Djellali
Cybercrime Sid Ahmed Djellali
Un logiciel malveillant de vol d’informations « sophistiqué » appelé BlackGuard est proposé sur les forums clandestins russes pour un abonnement de 200$ par mois. « BlackGuard a la capacité de voler tous ...
Cybersécurité Sid Ahmed Djellali
Cybersécurité Sid Ahmed Djellali
Bénéficier d’une réduction pour les groupes de +2 personnes de la même entreprise.
1-3 Rue d’Enghien
75010, Paris
France
Recevez les actualités du site Cyberdian.
Depuis 2017 @Cyberdian Tous les droits réservés.
En visitant notre site, vous acceptez notre politique de confidentialité concernant les cookies, les statistiques de suivi, etc.