Au milieu de la campagne de logiciels malveillants en cours, les analystes de la cybersécurité de Crowdstrike affirment que LemonDuck utilise l’outil de ligne de commande Docker pour déployer un botnet minier multiplateforme sur le système d’exploitation Linux qui utilise une approche multiplateforme pour extraire les crypto-monnaies.
En bref, les attaquants ciblent activement Docker pour exploiter les crypto-monnaies sur les systèmes Linux. Initialement, les chercheurs de Trend Micro ont découvert le malware de crypto-minage Lemon_Duck en juin 2019 alors qu’ils testaient des réseaux d’entreprise capables de lui voler des crypto-monnaies.
Lorsqu’il est découvert pour la première fois, le bot accède au service MS SQL via :
- Utilisez des attaques par force brute.
- Exploitez la vulnérabilité EternalBlue.
- Exploitez la vulnérabilité ProxyLogon.
- Exploitation de la vulnérabilité BlueKeep.
API docker exposée
CrowdStrike a détecté une récente campagne de logiciels malveillants qui exploitait les API Docker exposées pour accéder à d’autres ressources.
Les pirates utilisent principalement les API Docker exposées comme vecteurs d’accès initiaux. Bien que le but de cette attaque soit de lancer un conteneur malveillant pour obtenir un fichier de script shell Bash à partir d’un serveur distant déguisé en fichier PNG inoffensif.
L’API ci-dessus peut être mise à la disposition de tous les développeurs locaux en utilisant un socket ou un démon Linux, et par défaut 2375 est le port.
Les domaines LemonDuck sont associés à des compte-gouttes comme des fichiers image depuis au moins janvier 2021. Les données historiques montrent que les acteurs de la menace utilisent ce type de compte-gouttes depuis lors.
Actions effectuées par le fichier Bash (a.asp)
Ci-dessous, nous avons mentionné toutes les opérations effectuées par le fichier Bash (a.asp):-
- Identifiez les pools de minage, les groupes de minage concurrents et d’autres services de crypto-minage et mettez fin au processus en conséquence.
- En obtenant les ID de processus des démons connus, tels que crond, sshd et syslog, il est capable de tous les tuer.
- Il supprime tous les clients potentiels identifiés comme indicateurs de compromission (IOC) pour perturber les opérations existantes.
- Une connexion réseau active connue sera interrompue.
Cible AWS, Alibaba Cloud
En plus des modifications, la charge utile des logiciels malveillants reste concentrée sur les cibles suivantes tout en se concentrant sur Amazon Web Services (AWS) :
- Extraction de crypto-monnaie
- Persistance
- Mouvement latéral
- Désactiver les solutions de sécurité cloud
Pour déployer le mineur de crypto-monnaie pour la tentative de minage, un shell Web personnalisé est utilisé. Cependant, le pare-feu doit être à nouveau désactivé pour arrêter d’autres programmes de minage de monnaie virtuelle.