Site icon Cyberdian, Cabinet de Conseil en Cybersécurité

LemonDuck Malware attaque Docker pour extraire la crypto-monnaie sur les systèmes Linux

Au milieu de la campagne de logiciels malveillants en cours, les analystes de la cybersécurité de Crowdstrike affirment que LemonDuck utilise l’outil de ligne de commande Docker pour déployer un botnet minier multiplateforme sur le système d’exploitation Linux qui utilise une approche multiplateforme pour extraire les crypto-monnaies.

En bref, les attaquants ciblent activement Docker pour exploiter les crypto-monnaies sur les systèmes Linux. Initialement, les chercheurs de Trend Micro ont découvert le malware de crypto-minage Lemon_Duck en juin 2019 alors qu’ils testaient des réseaux d’entreprise capables de lui voler des crypto-monnaies.

Lorsqu’il est découvert pour la première fois, le bot accède au service MS SQL via :

API docker exposée

CrowdStrike a détecté une récente campagne de logiciels malveillants qui exploitait les API Docker exposées pour accéder à d’autres ressources.

Les pirates utilisent principalement les API Docker exposées comme vecteurs d’accès initiaux. Bien que le but de cette attaque soit de lancer un conteneur malveillant pour obtenir un fichier de script shell Bash à partir d’un serveur distant déguisé en fichier PNG inoffensif.

L’API ci-dessus peut être mise à la disposition de tous les développeurs locaux en utilisant un socket ou un démon Linux, et par défaut 2375 est le port.

Les domaines LemonDuck sont associés à des compte-gouttes comme des fichiers image depuis au moins janvier 2021. Les données historiques montrent que les acteurs de la menace utilisent ce type de compte-gouttes depuis lors.

Actions effectuées par le fichier Bash (a.asp)

Ci-dessous, nous avons mentionné toutes les opérations effectuées par le fichier Bash (a.asp):-

Cible AWS, Alibaba Cloud

En plus des modifications, la charge utile des logiciels malveillants reste concentrée sur les cibles suivantes tout en se concentrant sur Amazon Web Services (AWS) :

Pour déployer le mineur de crypto-monnaie pour la tentative de minage, un shell Web personnalisé est utilisé. Cependant, le pare-feu doit être à nouveau désactivé pour arrêter d’autres programmes de minage de monnaie virtuelle.

Quitter la version mobile