LemonDuck cible les API de Docker sur les systèmes Linux pour frapper de la monnaie numérique en toute anonymité, selon l’expert en cybersécurité Crowdstrike.
LemonDuck est un logiciel malveillant de minage de cryptomonnaies intégré à une structure de botnet. Il exploite d’anciennes vulnérabilités – notamment les bugs de Microsoft Exchange ProxyLogon, EternalBlue et BlueKeep – pour infiltrer des systèmes et serveurs dans le cloud.
Docker sert à créer, exécuter et gérer des charges de travail conteneurisées. Comme il fonctionne principalement dans le cloud, une instance mal configurée peut être compromise et exploitée par des personnes malveillantes, notamment pour débloquer de la puissance de calcul afin de miner de la cryptomonnaie.
C’est le revers de Docker, selon les spécialistes : il offre un haut degré de programmabilité, de flexibilité et d’automatisation, mais a pour effet secondaire d’augmenter la surface d’attaque.
Dans un cas observé par l’équipe de Crowdstrike, une API exposée a été utilisée de manière abusive : « Après avoir exécuté son conteneur malveillant sur une API exposée, LemonDuck télécharge un fichier image nommé core.png déguisé en script bash », détaille un billet de blog de Crowdstrike. « Core.png sert de point de pivot pour configurer un cronjob Linux, qui peut être utilisé pour programmer l’exécution automatique de scripts ou d’autres commandes. Le cronjob est ensuite utilisé pour télécharger un fichier déguisé appelé a.asp, qui est en fait un fichier bash capable de désactiver certains services de surveillance », notamment Cloud Defense d’Alibaba.
Ensuite, A.asp télécharge et exécute XMRig, un fichier xr qui mine du Monero : « Les pools de proxy permettent de cacher l’adresse réelle du portefeuille de crypto-monnaies où les contributions sont effectuées par l’activité minière en cours ».
Cette technique d’attaque est dite « furtive » : plutôt que d’analyser en masse des plages d’adresses IP publiques à la recherche de surfaces d’attaque exploitables, il se déplace latéralement à la recherche de clés SSH pour se connecter à d’autres serveurs et répéter ses opérations malveillantes.
Crowdstrike en conclut que LemonDuck profite tout simplement du boom des crypto-monnaies ces dernières années, ainsi que de l’adoption du cloud et des conteneurs dans les entreprises.