Des chercheurs ont surpris Trafficstealer en train d'abuser activement des API des conteneurs Docker pour rediriger les utilisateurs vers des sites web malveillants. Les acteurs de la menace utilisent ce nouveau logiciel pour monétiser le trafic tout en restant sous le radar.
Trafficstealer – Un nouveau logiciel qui abuse des API des conteneurs Docker pour gagner de l'argent
Selon un rapport détaillé de Trend Micro, ils ont remarqué un nouveau logiciel, “Trafficstealer”, qui exploite le trafic internet habituel à des fins de monétisation.
En bref, leurs pots de miel ont détecté un ensemble de données unique qui semblait différent d'un cryptomineur ou d'une commande Linux d'espionnage. Plus précisément, ils ont trouvé un conteneur qui abusait de leur réseau de laboratoire pour rediriger le trafic vers des sites Web malveillants ou des publicités. Bien qu'ils aient été confrontés à des abus, les chercheurs ont pu recueillir des informations sur les attaquants en analysant les journaux JSON du pot de miel. Comme indiqué dans leur rapport ,
Les attaquants avaient transformé notre pot de miel en une machine génératrice de revenus pour eux-mêmes, mais ils ont également laissé des informations précieuses derrière eux, ce qui nous a permis de mieux comprendre leurs tactiques et de recueillir des enseignements précieux de cette expérience.
Plus précisément, l'attaque commence par le déploiement d'images de conteneurs sur un réseau cible afin de réacheminer le trafic par le biais de cette appli de conteneurs. En retour, le service promet à l'utilisateur (l'”abonné”) un certain profit. L'appareil de l'abonné fonctionne alors comme un proxy, ce qui permet à l'ensemble de l'activité de reroutage du trafic de ne pas être détecté. Bien que cela semble inoffensif, c'est dangereux lorsqu'il s'agit d'abuser des réseaux des victimes à des fins de monétisation.
En termes simples, le concept derrière ce mode d'opération ressemble à celui des cryptomineurs. La différence est que le cryptomining abuse du processeur ou du GPU de l'appareil cible, alors que l'activité de l'application conteneur Trafficstealer abuse du trafic du réseau cible.
Trend Micro a observé que ladite image était tirée 500 000 fois du seul Docker Hub, traitant 15 Mo en quelques secondes. Étant donné la nature furtive de cette attaque qui ne soupçonne même pas les services publicitaires légitimes de gagner du trafic (parce que le trafic semble légitime – seulement qu'il est redirigé), les chercheurs soupçonnent de nombreux sites légitimes d'exécuter volontairement l'image sur leurs réseaux.
Pour atténuer de telles menaces, les chercheurs conseillent d'employer la confiance zéro dans tous les environnements de conteneurs, de sécuriser les API de conteneurs, de mettre en œuvre une politique d'autorisation des conteneurs et d'assurer des analyses anti-programmes malveillants régulières pour les images de conteneurs.
Les chercheurs continueront à surveiller cette activité pour recueillir plus d'informations.
Fais-nous part de tes réflexions dans les commentaires.
