L’équipe de recherche des menaces du spécialiste américainde la protection des terminaux CrowdStrike a découvert une campagne active de cryptojacking menée par LemonDuck. Elle cible Docker pour miner des crypto-monnaies sur la plateforme Linux. Cette campagne est actuellement active.
LemonDuck est un botnet de cryptomining bien connu, impliqué dans le ciblage des serveurs Microsoft Exchange via ProxyLogon et l’utilisation d’EternalBlue, et BlueKeep pour miner des crypto-monnaies et se déplacer dans les réseaux compromis. Ce botnet tente de monétiser ses efforts via diverses campagnes actives simultanées de minage de crypto-monnaies comme Monero.
LemonDuck cible les API Docker exposées pour obtenir un accès initial, explique l’éditeur sur son blog. Il exécute un conteneur malveillant sur une API Docker exposée en utilisant un Docker ENTRYPOINT personnalisé pour télécharger un fichier image core.png déguisé en script Bash.
Ce fichier core.png a été téléchargé à partir d’un domaine t.m7n0y[.]com, qui est associé à LemonDuck. En analysant plus en détail ce domaine, CrowdStrike a trouvé plusieurs campagnes exploitées via le domaine ciblant simultanément les plateformes Windows et Linux.
CrowdStrike s’attend à ce que ce type de campagnes par de grands opérateurs de botnets augmente à mesure que l’adoption du Cloud continue d’augmenter.
