{"id":1713,"date":"2023-03-01T18:51:50","date_gmt":"2023-03-01T18:51:50","guid":{"rendered":"https:\/\/cycuri.com\/?p=1713"},"modified":"2023-03-03T18:54:04","modified_gmt":"2023-03-03T18:54:04","slug":"les-pirates-exploitent-les-environnements-conteneurises-pour-voler-des-donnees-et-des-logiciels-proprietaires","status":"publish","type":"post","link":"https:\/\/cycuri.com\/les-pirates-exploitent-les-environnements-conteneurises-pour-voler-des-donnees-et-des-logiciels-proprietaires\/","title":{"rendered":"Les pirates exploitent les environnements conteneuris\u00e9s pour voler des donn\u00e9es et des logiciels propri\u00e9taires"},"content":{"rendered":"
<\/div>\n

Une campagne d’attaque sophistiqu\u00e9e baptis\u00e9e SCARLETEEL<\/strong> cible les environnements conteneuris\u00e9s pour perp\u00e9trer le vol de donn\u00e9es et de logiciels propri\u00e9taires.<\/p>\n\n\n\n

\u00ab\u00a0L’attaquant a exploit\u00e9 une charge de travail conteneuris\u00e9e, puis l’a exploit\u00e9e pour effectuer une escalade de privil\u00e8ges dans un compte AWS afin de voler des logiciels propri\u00e9taires et des informations d’identification\u00a0\u00bb, a d\u00e9clar\u00e9<\/a> Sysdig dans un nouveau rapport.<\/p>\n\n\n\n

L’attaque cloud avanc\u00e9e a \u00e9galement entra\u00een\u00e9 le d\u00e9ploiement d’un logiciel de crypto-minage, qui, selon la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, est soit une tentative de g\u00e9n\u00e9rer des profits illicites, soit un stratag\u00e8me pour distraire les d\u00e9fenseurs et les \u00e9carter de la piste.<\/p>\n\n\n\n

Le vecteur d’infection initial misait sur l’exploitation d’un service public vuln\u00e9rable dans un cluster Kubernetes autog\u00e9r\u00e9 h\u00e9berg\u00e9 sur Amazon Web Services (AWS).<\/p>\n\n\n\n

Apr\u00e8s avoir pris pied avec succ\u00e8s, un crypto-mineur XMRig a \u00e9t\u00e9 lanc\u00e9 et un script bash a \u00e9t\u00e9 utilis\u00e9 pour obtenir des informations d’identification qui pourraient \u00eatre utilis\u00e9es pour creuser davantage dans l’infrastructure cloud AWS et exfiltrer des donn\u00e9es sensibles.<\/p>\n\n\n\n

\u00ab\u00a0Soit l’extraction de crypto \u00e9tait l’objectif initial de l’attaquant et l’objectif a chang\u00e9 une fois qu’il a acc\u00e9d\u00e9 \u00e0 l’environnement de la victime, soit l’extraction de crypto a \u00e9t\u00e9 utilis\u00e9e comme leurre pour \u00e9chapper \u00e0 la d\u00e9tection de l’exfiltration de donn\u00e9es\u00a0\u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

L’intrusion a notamment \u00e9galement d\u00e9sactiv\u00e9 les journaux CloudTrail<\/a> pour minimiser l’empreinte num\u00e9rique, emp\u00eachant Sysdig d’acc\u00e9der \u00e0 des preuves suppl\u00e9mentaires. Au total, cela a permis \u00e0 l’auteur de la menace d’acc\u00e9der \u00e0 plus de 1 To de donn\u00e9es, y compris des scripts client, des outils de d\u00e9pannage et des fichiers de journalisation.<\/p>\n\n\n\n

\u00ab\u00a0Ils ont \u00e9galement tent\u00e9 de pivoter en utilisant un fichier d’\u00e9tat Terraform vers d’autres comptes AWS connect\u00e9s pour \u00e9tendre leur port\u00e9e dans toute l’organisation\u00a0\u00bb, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. Ceci, cependant, s’est av\u00e9r\u00e9 infructueux en raison du manque d’autorisations.<\/p>\n\n\n\n

Les r\u00e9sultats surviennent des semaines apr\u00e8s que Sysdig a \u00e9galement d\u00e9taill\u00e9<\/a> une autre campagne de cryptojacking mont\u00e9e par le 8220 Gang entre novembre 2022 et janvier 2023 ciblant le serveur Web Apache exploitable et les applications Oracle Weblogic.<\/p>\n","protected":false},"excerpt":{"rendered":"

Une campagne d’attaque sophistiqu\u00e9e baptis\u00e9e SCARLETEEL cible les environnements conteneuris\u00e9s pour perp\u00e9trer le vol de donn\u00e9es et de logiciels propri\u00e9taires. \u00ab\u00a0L’attaquant a exploit\u00e9 une charge de travail conteneuris\u00e9e, puis l’a exploit\u00e9e pour effectuer une escalade de privil\u00e8ges dans un compte AWS afin de voler des logiciels propri\u00e9taires et des informations d’identification\u00a0\u00bb, a d\u00e9clar\u00e9 Sysdig dans […]<\/p>\n","protected":false},"author":1,"featured_media":1714,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[48],"tags":[49,98],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1713"}],"collection":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/comments?post=1713"}],"version-history":[{"count":4,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1713\/revisions"}],"predecessor-version":[{"id":1720,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/posts\/1713\/revisions\/1720"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media\/1714"}],"wp:attachment":[{"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/media?parent=1713"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/categories?post=1713"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cycuri.com\/wp-json\/wp\/v2\/tags?post=1713"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}