Malware : une campagne malveillante cible les hôtes Docker, Redis, Confluence et Hadoop sous Linux
Spinning YARN, c'est le nom associé à une campagne de cyberattaques qui a pour objectif de compromettre les instances Cloud sous Linux dans le but de déployer des logiciels malveillants. Les solutions ciblées : Docker, Redis, Apache Hadoop et Atlassian Confluence. Faisons le point.
D'après les chercheurs en sécurité de Cado Security, un groupe de cybercriminels cible les serveurs Cloud, soit en tirant profit de mauvaises configurations, ou en exploitant une faille de sécurité présente dans une version vulnérable. Plus précisément, les pirates ciblent Docker, Redis, Apache Hadoop ainsi que la solution Atlassian Confluence en exploitant la faille de sécurité CVE-2022-26134.
Dans un article de blog, Chris Doman, cofondateur et directeur technique de Cado Security, précise : "Les attaques sont relativement codées en dur et automatisées, de sorte qu'elles recherchent des vulnérabilités connues dans Confluence et d'autres plateformes, ainsi que des erreurs de configuration bien connues dans des plateformes telles que Redis et Docker."
Si l'on prend l'exemple de Docker, les attaquants ciblent Docker Engine API par l'intermédiaire d'une requête Web, dans le but de parvenir à exécuter du code sur l'hôte sur lequel sont exécutés les containers. Cado Security donne pour un exemple un conteneur basé sur Alpine Linux, sur lequel les cybercriminels sont parvenus à créer un montage bind pour le répertoire racine (/) du serveur hôte, vers le point de montage /mnt à l'intérieur du conteneur.
Lorsqu'une instance est compromise, les cybercriminels déploient un outil de cryptominage, ainsi qu'un reverse shell nommé Platypus qui leur assure à un accès persistant sur l'instance. Ainsi, ils peuvent utiliser cet accès pour déployer d'autres malwares par la suite. Ceci n'est pas sans rappeler les actions menées par les groupes TeamTNT et WatchDog, d'après les chercheurs en sécurité.
Docker, une cible à la mode
Cado Security alerte sur le fait que les cybercriminels s'attaquent à Docker de plus en plus fréquemment pour obtenir un accès initial sur un serveur ou un environnement complet.
"Il est bien connu que les points d'extrémité de l'API de Docker Engine sont souvent ciblés pour un accès initial. Au cours du seul premier trimestre 2024, les chercheurs de Cado Security Labs ont identifié trois nouvelles campagnes de logiciels malveillants exploitant Docker pour l'accès initial, dont celle-ci.", peut-on lire dans le rapport.
