Les cybercriminels ont trouvé un nouveau moyen de cibler les serveurs Docker vulnérables en déployant deux containers distincts : un mineur XMRig et le programme 9Hits viewer. Le but est clair, abuser des ressources des serveurs et également générer un trafic non souhaité vers d’autres sites.
XMRig et 9Hits viewer
Le mineur XMRig est une application connue pour miner illégalement des cryptomonnaies à l’aide des ressources informatiques de la victime sans son consentement. D’un autre côté, 9Hits viewer est un système d’échange de trafic automatisé, où les membres achètent des crédits pour générer du trafic sur leur site web et peuvent exécuter l’application viewer pour visiter les sites demandés en échange de crédits.
Comment fonctionne l’attaque ?
Les attaquants récupèrent des images disponibles publiquement sur Dockerhub pour leurs containers 9hits et XMRig. Ils utilisent ensuite nh.sh comme point d’entrée pour configurer et lancer l’application 9Hits. Après avoir ajouté leur token de session, cela permet au programme 9Hits de s’authentifier auprès de leurs serveurs et de récupérer une liste de sites à visiter.
Il est important de noter que le système de tokens de session est conçu pour fonctionner dans des contextes non fiables, permettant ainsi au programme de fonctionner dans des campagnes illégitimes sans risque que le compte de l’attaquant soit compromis.
Connaître les risques et se protéger
L’utilisation abusive de serveurs Docker vulnérables peut causer une perte significative de ressources pour les victimes et peut également entraîner des problèmes liés à la sécurité et à la confidentialité des données. Ainsi, il est crucial pour les utilisateurs de Docker d’appliquer les meilleures pratiques en matière de sécurité, notamment :
– Ne pas exposer les ports de gestion ou d’administration des services au public.
– S’assurer que les images Docker proviennent de sources fiables et vérifier régulièrement leur intégrité.
– Mettre en place des mesures de détection et de réponse aux incidents pour être rapidement informé de toute activité inhabituelle sur votre infrastructure.
Des attaques en augmentation
Cette nouvelle tendance n’est qu’un exemple parmi tant d’autres montrant comment les cybercriminels cherchent constamment des moyens innovants pour profiter des vulnérabilités rencontrées dans les systèmes et applications utilisées par leurs victimes. Les cas précédents incluent le malware Viking Horde, qui a réussi à obtenir un accès root sur n’importe quel appareil Android, ou encore l’évasion de données de 2,5 millions de détenteurs de comptes Xbox et Playstation suite à une attaque informatique.
Face à cette augmentation des cyberattaques, il est important de rester vigilant et de suivre l’évolution des menaces afin de mieux se protéger. Les entreprises doivent investir dans des solutions de sécurité avancées pour anticiper et détecter ces menaces, et ainsi préserver leurs données et leurs infrastructures critiques.
