Des instances Apache Tomcat infestées par des cryptomineurs

Les équipes de Tenable viennent de mettre en évidence que le groupe derrière le cryptomineur Kinsing ont réussi à infecter des instances Apache Tomcat tout en restant indétectables depuis plus d’un an.


Les serveurs Apache Tomcat sont la cible de crypto mineurs. Les équipes de Tenable viennent d’identifier une nouvelle attaque qui vise à installer le malware Kinsing sur les instances open source. D’après les d'investigation de l’éditeur, l'opération malveillante est active depuis près d'un an sans que personne ne s'en soit aperçu. Kinsing intègre un cryptomineur appelé XMRig dédié au minage de Monero, via les ressources CPU. 

Si l’attaque ne représente pas de menace pour la confidentialité des données, elle entraîne toutefois une hausse des coûts liée à une surconsommation des ressources et peut impacter les performances des instances. "Le cryptomining dans le cloud est devenu une tendance émergente, alimentée par l'évolutivité et la flexibilité des plateformes", a déclaré l’équipe de recherche cloud de Tenable. "Contrairement à l'infrastructure traditionnelle sur site, l'infrastructure cloud permet aux attaquants de déployer rapidement des ressources pour le cryptomining, ce qui la rend plus facile à exploiter. Dans ce cas, nous avons détecté plusieurs serveurs infectés par Kinsing dans un environnement unique, dont un serveur Apache Tomcat présentant des vulnérabilités critiques."

Les hackers derrière le malware Kinsing seraient parvenus à utiliser de nouveaux chemins d’attaques pour rester indétectables. Ils sont ainsi parvenus à installer leur malware sur des emplacements généralement utilisés pour des fichiers système légitimes, ce qui lui a permis de se fondre dans la masse et d'éviter d'être détectés.