LemonDuck se joue des API vulnérables pour miner des cryptopépettes
Après avoir détourné des serveurs Exchange vulnérables l’an dernier, le botnet LemonDuck vise les interfaces Docker mal sécurisées pour détourner des serveurs Linux et miner des cryptoactifs.
Un botnet utilisé à des fins de cryptojacking, qui a ciblé les serveurs Microsoft Exchange l’année dernière, est désormais impliqué dans des attaques contre Docker, selon CrowdStrike.
Bien connu, ce maliciel appelé LemonDuck a été exploité dans des campagnes de détournement de ressources de calcul pour le minage de cryptoactifs depuis 2019. Il a notamment été déployé dans des attaques ayant tiré profit des vulnérabilités dites ProxyLogon, qui ont affecté les serveurs Exchange et sont restées non corrigées sur un nombre élevé de systèmes d’entreprise tout au long de 2021.
Désormais, CrowdStrike a détecté son utilisation pour cibler la plateforme logicielle open source Docker afin de miner des cryptomonnaies sur des systèmes Linux.
Dans un billet de blog publié jeudi dernier, Manoj Ahuje, chercheur principal en menaces pour la sécurité du cloud chez CrowdStrike, a détaillé la capacité de LemonDuck à cacher les adresses des portefeuilles et à échapper à la détection en ciblant et en désactivant le service de surveillance d’Alibaba Cloud.
La campagne a fourni un autre exemple des difficultés associées à la sécurisation des API. Bien qu’il y ait eu des progrès, deux aspects demeurent : un manque de visibilité et un nombre de plus en plus écrasant d’API cachées dans les environnements d’entreprise. Docker fournit aux développeurs des API pour les traitements conteneurisées, mais celles-ci peuvent parfois être exposées à des attaques du fait d’erreurs de configuration.
Dans ce cas, les acteurs malveillants peuvent obtenir un accès initial par le biais d’API Docker exposées, avant de les détourner pour exécuter LemonDuck « à l’intérieur d’un conteneur contrôlé par l’attaquant », explique le billet de blog. Dans un courriel adressé à nos confrères de SearchSecurity (groupe TechTarget), Manoj Ahuje décrit la campagne comme étant « active et efficace ». Il attribue cette efficacité à l’infrastructure « complexe » du botnet et à son évolution permanente avec des tactiques, techniques et procédures améliorées.
« Les attaquants ont choisi de ne pas scanner les IP publiques et privées par le biais d’instances Docker compromises, ce qui rend LemonDuck plus difficile à détecter », indique Manoj Ahuje. En examinant les données recueillies par CrowdStrike, qui recouvrent de multiples opérations de commande et de contrôle, Manoj Ahuje a découvert que « les attaquants pourraient cibler de manière sélective mais aléatoire des plages d’IP particulières ». Les données ont également révélé un effort accru pour « masquer la portée de la campagne », notamment en contournant les mécanismes d’analyse d’Alibaba Cloud des instances à la recherche d’activités malveillantes.
« Le fichier 'a.asp' de LemonDuck a la capacité de désactiver le service aliyun afin d’échapper à la détection par le fournisseur de cloud computing », écrit Manoj Ahuje dans son rapport. En outre, le chercheur a relevé l’efficacité d’un pool de mandataires de crypto-minage, qui a été utilisé pour cacher les adresses des portefeuilles. Dès lors, il est difficile de déterminer l’ampleur de la campagne.
« Chez CrowdStrike, nous nous attendons à ce que ce type de campagnes menées par de grands opérateurs de botnet augmente à mesure que l’adoption du cloud continue de croître. »
Manoj AhujeChercheur principal en menaces pour la sécurité du cloud, CrowdStrike
« Les adresses des portefeuilles et le taux de minage sont généralement suffisants pour connaître l’ampleur des efforts de minage, mais dans ce cas, c’est inconnu pour le moment car les adresses des portefeuilles sont cachées », a indiqué Manoj Ahuje à SearchSecurity. L’adoption accrue des services Cloud a augmenté l’attrait des campagnes de minage de crypto-devises pour les cybercriminels. CrowdStrike estime que la hausse de la valorisation des crypto-monnaies a attiré les attaquants à la recherche d’une « rémunération immédiate », et l’activité ne fera qu’augmenter.
« Chez CrowdStrike, nous nous attendons à ce que ce type de campagnes menées par de grands opérateurs de botnet augmente à mesure que l’adoption du cloud continue de croître », indique ainsi Manoj Ahuje dans le rapport.
Docker n’est que la dernière cible d’une série de campagnes du botnet LemonDuck contre les systèmes Windows et Linux. Selon Manoj Ahuje, les opérateurs de LemonDuck mènent plusieurs campagnes et utilisent des exploits connus pour obtenir un accès initial, notamment ProxyLogon, EternalBlue et BlueKeep. EternalBlue était lié aux tristement célèbres attaques de ransomware WannaCry de 2017.
« Nous avons trouvé un certain nombre de campagnes actives ciblant simultanément Docker, Linux et Windows, ce qui montre un effort significatif de ce botnet pour trouver et exploiter les environnements cloud pour le cryptomining », a déclaré Manoj Ahuje.
