Les experts en cybersécurité ont récemment identifié une menace en cours posée par un acteur anonyme qui a exploité des serveurs Docker Remote API non protégés pour diffuser un logiciel malveillant de cryptominage connu sous le nom de perfctl sur les systèmes de victimes insoupçonnées. Ce développement a été découvert par le chercheur principal en menaces de l’entreprise de cybersécurité Trend Micro, Sunil Bharti.
Dans une brève synthèse technique donnée à notre reporter, Bharti a déclaré que son équipe d’enquête a réussi à intercepter deux déploiements de logiciels malveillants via leurs honeypots méticuleusement positionnés. Pour les lecteurs familiarisés avec le paysage de la cybersécurité, le logiciel malveillant perfctl a fait la une des journaux plus tôt dans le mois lorsque les chercheurs d’Aqua Security ont émis un avertissement indiquant que potentiellement des millions de serveurs Linux pourraient être vulnérables à ce type d’attaque.
Face à l’escalade des menaces, Trend Micro exhorte les organisations à renforcer immédiatement leurs serveurs Docker Remote API. L’exploitation continue de ces serveurs sans défense a maintenant atteint un point critique, nécessitant une intervention urgente et une refonte potentielle par les équipes de sécurité des organisations.
La détection de cette dernière attaque vient peu après qu’un précédent incident similaire a été observé en 2024, confirmant une réémergence d’une tendance inquiétante. Comme lors de l’offensive cybernétique précédente, les pirates ont initialement violé les systèmes en exploitant des serveurs connectés à internet. Par la suite, ils ont créé un conteneur codé de manière unique à partir de l’image de base ubuntu:mantic-20240405.
Pour faciliter son fonctionnement, ce conteneur Docker malveillant a été conçu pour fonctionner en mode privilégié et l’identifiant du processus hôte (PID) a été utilisé pour garantir que le conteneur s’aligne avec l’espace de noms PID du système hôte – une tactique qui augmente le niveau de contrôle que le logiciel malveillant a sur le système cible.
En résumé, les organisations dont les systèmes sont actuellement ou potentiellement liés à Docker Remote API servers devraient prendre des mesures immédiates pour renforcer la sécurité de leur système. Ne pas le faire présente un risque tangible de succomber à cette attaque de cryptominage perfctl de plus en plus fréquente et hautement dommageable.
