L’article publié par SecureList de Kaspersky décrit une campagne de minage de crypto-monnaie qui utilise des API Docker exposées pour propager un malware de manière autonome. Cette attaque ne nécessite pas de serveur de commande et de contrôle, s’appuyant sur la croissance exponentielle du nombre de conteneurs infectés pour se propager.
Lors d’une évaluation de compromission, des analystes ont détecté des conteneurs exécutant des activités malveillantes. L’analyse a révélé que l’attaquant a accédé à l’infrastructure conteneurisée en exploitant une API Docker publiée de manière non sécurisée, compromettant ainsi les conteneurs en cours d’exécution et en créant de nouveaux pour miner la crypto-monnaie Dero et lancer des attaques externes.
L’attaque est automatisée par deux implants malveillants : un malware de propagation nommé nginx et un mineur de crypto-monnaie Dero, tous deux écrits en Golang et emballés avec UPX. Kaspersky détecte ces implants sous les verdicts Trojan.Linux.Agent.gen pour nginx et RiskTool.Linux.Miner.gen pour le mineur. Le malware nginx, déguisé en serveur web légitime, assure la persistance du mineur et sa propagation continue.
Cet article est une analyse technique visant à informer sur les mécanismes de propagation de ce malware et les implications sécuritaires des API Docker exposées.
🧠 TTP et IOC détecté
TTP
T1587.001 - Develop Capabilities: Malware, T1078 - Valid Accounts, T1190 - Exploit Public-Facing Application, T1570 - Lateral Tool Transfer, T1496 - Resource Hijacking, T1036 - Masquerading, T1053 - Scheduled Task/Job, T1027 - Obfuscated Files or Information, T1105 - Ingress Tool Transfer
IOC
Trojan.Linux.Agent.gen, RiskTool.Linux.Miner.gen
🔗 Source originale : https://securelist.com/dero-miner-infects-containers-through-docker-api/116546/