Une campagne de minage de cryptomonnaies en cours a mis à niveau son arsenal de défense qui permettent a des hacker de dissimuler des intrusions et de voler sous le radar, selon une nouvelle recherche publiée aujourd’hui.
Depuis sa première détection en 2019, un total de 84 attaques contre ses serveurs pots de miel ont été enregistrées à ce jour, dont quatre ont été détéctées en 2021, selon les chercheurs de la société DevSecOps et de sécurité du cloud Aqua Security, qui suivent l’opération du malware depuis trois ans, 125 attaques ont été repérées dans la nature au cours du seul troisième trimestre de 2021.
Les attaques initiales impliquaient l’exécution d’une commande malveillante lors de l’exécution d’une image nommée « alpine:latest » qui entraînait le téléchargement d’un script shell nommé « autom.sh. »
« Les adversaires utilisent couramment des images avec des commandes malveillantes pour mener leurs attaques, car la plupart des organisations font confiance aux images officielles et autorisent leur utilisation« , ont déclaré les chercheurs dans un rapport partagé. « Au fil des années, la commande malveillante ajoutée à l’image officielle pour réaliser l’attaque a à peine changé. La principale différence réside dans le serveur à partir duquel le script shell autom.sh a été téléchargé. »
Le script shell initialise la séquence d’attaque, permettant à l’adversaire de créer un nouveau compte utilisateur sous le nom de « akay » et d’élever ses privilèges à un utilisateur root, à l’aide duquel des commandes arbitraires sont exécutées sur la machine compromise dans le but de miner de la cryptomonnaie.
Bien que les premières phases de la campagne en 2019 ne présentaient aucune technique spéciale pour cacher l’activité de minage, les versions ultérieures montrent les mesures extrêmes que ses développeurs ont prises pour la rendre invisible à la détection et à l’inspection, la principale étant la capacité de désactiver les mécanismes de sécurité et de récupérer un script shell de minage obscurci qui a été encodé en Base64 cinq fois pour contourner les outils de sécurité.
Pour se protéger contre ces menaces, il est recommandé de surveiller les activités suspectes des conteneurs, d’effectuer une analyse dynamique des images et d’analyser régulièrement les environnements pour détecter les problèmes de mauvaise configuration.