Les cybercriminels ont commencé à utiliser des images de conteneurs malveillants comme moyen d’installer des cryptomineurs sur les réseaux d’entreprise, bien qu’ils puissent également être utilisés dans le cadre d’une attaque de chaîne d’approvisionnement ciblant les environnements cloud natifs.
La société de cybersécurité Aqua Security a découvert plusieurs attaques de chaîne d’approvisionnement qui utilisent des images de conteneurs malveillants pour compromettre leurs victimes lorsque son équipe de recherche sur les menaces, Team Nautilus, effectuait son analyse quotidienne de Docker Hub pour les activités malveillantes selon un nouveau billet de blog.
Les trois premières images de conteneur découvertes par l’équipe de recherche (thanhtudo, thieunutre et chanquaa) exécutent toutes un script appelé dao.py qui est écrit en Python et qui a déjà été utilisé dans plusieurs campagnes qui utilisaient le typo squatting pour masquer leurs images de conteneur malveillantes sur Docker Hub.
Le script dao.py exécute un binaire appelé xmrig qui est en fait un mineur de crypto-monnaie Monero caché dans l’une des couches de l’image du conteneur.
Sommaire
Images de conteneur malveillantes
Deux des images de conteneur (openjdk et golang) découvertes par Aqua Security utilisent des titres trompeurs pour apparaître comme des images de conteneur officielles d’OpenJDK et Golang respectivement.
Les cybercriminels à l’origine de cette campagne les ont conçus de manière à ce qu’un utilisateur occupé puisse les confondre accidentellement avec des images de conteneurs officielles malgré le fait que leurs comptes Docker Hub ne sont pas officiels. Après avoir exécuté ces images de conteneur, le binaire xmrig est exécuté, ce qui détourne les ressources du réseau pour l’extraction de crypto-monnaie.
Bien que les deux premières images de conteneur (thanhtudo et thieunutre) soient probablement destinées à être utilisées dans le cadre d’une attaque de chaîne d’approvisionnement, les autres sont principalement utilisées pour miner de la crypto-monnaie. Pourtant, les cinq images de conteneurs malveillants ont obtenu plus de 120 000 tirages de Docker Hub.
Afin de protéger votre organisation et son réseau contre les cryptomineurs et les attaques de la chaîne d’approvisionnement, Aqua Security recommande de contrôler l’accès aux registres publics, d’analyser les images de conteneur à la recherche de logiciels malveillants à l’aide d’une analyse statique et dynamique et de signer numériquement les images de conteneur pour maintenir l’intégrité de l’image.
