Les API de Docker visées par LemonDuck

L'équipe CrowdStrike Cloud Threat Research a découvert que LemonDuck cible Docker sur Linux pour générer des cryptomonnaies.  

Les cybercriminels ont compromis des serveurs cloud en utilisant le botnet Lemon Duck de crypto-minage dans une campagne toujours active. Cette fois, le célèbre malware cible Docker, un service cloud d’exploitation de crypto sur Linux (en même temps que Windows) d’après les recherches de CrowdStrike Cloud Threat Research.

« En raison du boom de la crypto-monnaie ces dernières années, combiné à l'adoption du cloud et des conteneurs dans les entreprises, le cryptominage s'est avéré être une option financièrement intéressante pour les attaquants. Étant donné que les écosystèmes de cloud et de conteneurs utilisent fortement Linux, cela a attiré l'attention des opérateurs de botnets comme LemonDuck, qui ont commencé à cibler Docker pour le cryptominage sur la plate-forme Linux », ont déclaré les chercheurs dans leur billet de blog.

LemonDuck contourne les sécurités

Selon leurs travaux, LemonDuck cible les API Docker exposées afin d’obtenir un accès initial. Le malware infecte ensuite le système grâce à un fichier image contenant un code malveillant.

LemonDuck va alors élever les privilèges, installer des cryptomineurs et se déplacer latéralement dans les réseaux compromis. Il tente de monétiser ses efforts en menant des campagnes actives simultanées afin d’exploiter des crypto-monnaie. Les chercheurs évoquent notamment la cryptomonnaie open source Monero, par l’intermédiaire du criptomineur XMRig.

Malin, le vilain petit canard parvient à « échapper aux défenses non seulement en utilisant des fichiers déguisés (…) mais également en désactivant le service de surveillance d'Alibaba Cloud. », indiquent les conclusions des chercheurs. L’équipe dit s’attendre à ce que ce type de campagne se multiplie à mesure que le cloud se démocratisera.