En trusselsaktør retter sig mod organisationer, der kører Apache Hadoop og Apache Druid big data-teknologier med en ny version af Lucifer-botnettet, et kendt malware-værktøj, der kombinerer cryptojacking og distribueret denial of service (DDoS)-funktioner.
Kampagnen er en afgang for botnettet, og en analyse i denne uge fra Aqua Nautilus tyder på, at dets operatører tester nye infektionsrutiner som en forløber for en bredere kampagne.
Lucifer er selvudbredende malware, som forskere hos Palo Alto Networks første gang rapporterede i maj 2020. På det tidspunkt beskrev virksomheden trussel som farlig hybrid malware som en angriber kan bruge til at aktivere DDoS-angreb eller til at droppe XMRig til at mine Monero-kryptovaluta. Palo Alto sagde det havde observerede angribere, der også brugte Lucifer at droppe NSA's lækket EternalBlue, EternalRomance og DoublePulsar malware og udnyttelser på målsystemer.
"Lucifer er en ny hybrid af cryptojacking og DDoS malware-variant, der udnytter gamle sårbarheder til at sprede og udføre ondsindede aktiviteter på Windows-platforme," havde Palo Alto advaret dengang.
Nu er den tilbage og målretter mod Apache-servere. Forskere fra Aqua Nautilus, der har fulgt kampagnen sagde i en blog i denne uge de havde talt mere end 3,000 unikke angreb rettet mod virksomhedens Apache Hadoop, Apache Druid og Apache Flink honningpotter alene i løbet af den sidste måned.
Lucifers 3 unikke angrebsfaser
Kampagnen har været i gang i mindst seks måneder, hvor angriberne har forsøgt at udnytte kendte fejlkonfigurationer og sårbarheder i open source-platformene til at levere deres nyttelast.
Kampagnen har hidtil bestået af tre adskilte faser, som forskerne sagde sandsynligvis er en indikation af, at modstanderen tester forsvarunddragelsesteknikker før et fuldskalaangreb.
"Kampagnen begyndte at målrette vores honningkrukker i juli," siger Nitzan Yaakov, sikkerhedsdataanalytiker hos Aqua Nautilus. "Under vores efterforskning observerede vi, at angriberen opdaterede teknikker og metoder for at nå hovedmålet med angrebet - minedrift af kryptovaluta."
Under den første fase af den nye kampagne observerede Aqua-forskere angriberne, der scannede internettet for forkert konfigurerede Hadoop-forekomster. Da de opdagede en forkert konfigureret Hadoop YARN (Yet Another Resource Negotiator) klyngressourcestyring og jobplanlægningsteknologi på Aquas honeypot, målrettede de den instans for udnyttelsesaktivitet. Den forkert konfigurerede instans på Aquas honeypot havde at gøre med Hadoop YARN's ressourcemanager og gav angriberne en måde at udføre vilkårlig kode på den via en specielt udformet HTTP-anmodning.
Angriberne udnyttede fejlkonfigurationen til at downloade Lucifer, udføre den og gemme den i Hadoop YARN-instansens lokale mappe. De sikrede derefter, at malware blev udført på en planlagt basis for at sikre persistens. Aqua observerede også, at angriberen slettede binærfilen fra stien, hvor den oprindeligt blev gemt for at forsøge at undgå registrering.
I den anden fase af angrebene målrettede trusselsaktørerne igen fejlkonfigurationer i Hadoop big-data stakken for at forsøge at få indledende adgang. Men denne gang, i stedet for at droppe en enkelt binær, droppede angriberne to på det kompromitterede system - den ene, der henrettede Lucifer, og den anden, der tilsyneladende ikke gjorde noget.
I den tredje fase skiftede angriberen taktik, og i stedet for at målrette mod fejlkonfigurerede Apache Hadoop-instanser, begyndte han i stedet at lede efter sårbare Apache Druid-værter. Aquas version af Apache Druid-tjenesten på dens honeypot var upatchet imod CVE-2021-25646, en kommandoindsprøjtningssårbarhed i visse versioner af den højtydende analysedatabase. Sårbarheden giver autentificerede angribere en måde at udføre brugerdefineret JavaScript-kode på berørte systemer.
Angriberen udnyttede fejlen til at injicere en kommando til at downloade to binære filer og aktivere dem med læse-, skrive- og eksekveringstilladelser for alle brugere, sagde Aqua. En af de binære filer startede download af Lucifer, mens den anden udførte malwaren. I denne fase ser angriberens beslutning om at opdele downloading og eksekvering af Lucifer mellem to binære filer ud til at have været et forsøg på at omgå detekteringsmekanismer, bemærkede sikkerhedsleverandøren.
Sådan undgår du et helvedes cyberangreb på Apache Big Data
Forud for en potentiel kommende bølge af angreb mod Apache-forekomster, bør virksomheder gennemgå deres fodspor for almindelige fejlkonfigurationer og sikre, at al patching er up-to-date.
Ud over det bemærkede forskerne, at "ukendte trusler kan identificeres ved at scanne dine miljøer med runtime-detektions- og responsløsninger, som kan registrere exceptionel adfærd og advare om det," og at "det er vigtigt at være forsigtig og opmærksom på eksisterende trusler, mens ved hjælp af open source-biblioteker. Hvert bibliotek og hver kode skal downloades fra en verificeret distributør."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
- :har
- :er
- :hvor
- $OP
- 000
- 2020
- 7
- a
- Om
- om det
- adgang
- opnå
- aktiviteter
- aktivitet
- aktører
- påvirket
- igen
- mod
- Alert
- Alle
- alene
- også
- an
- analyse
- analytiker
- analytics
- ,
- En anden
- Apache
- kommer til syne
- aqua
- vilkårlig
- ER
- AS
- At
- angribe
- Angriberen
- Angreb
- forsøg
- forsøger
- autentificeret
- undgå
- opmærksom på
- tilbage
- grundlag
- BE
- været
- før
- begyndte
- adfærd
- mellem
- Big
- Big data
- Blog
- botnet
- bredere
- by
- bypass
- Kampagne
- CAN
- kapaciteter
- forsigtig
- vis
- Cluster
- kode
- kombinerer
- kommer
- Fælles
- selskab
- Indeholder
- Kompromitteret
- kunne
- udformet
- cryptocurrency
- Cryptojacking
- Cyber angreb
- Dangerous
- data
- Database
- DDoS
- beslutning
- Forsvar
- levere
- Denial of Service
- afgang
- beskrevet
- opdage
- opdaget
- Detektion
- DID
- Vejviser
- distinkt
- distribueret
- distributør
- do
- downloade
- downloading
- Drop
- droppet
- Dropper
- Druid
- i løbet af
- muliggøre
- muliggør
- sikre
- sikret
- virksomheder
- miljøer
- Unddrage
- unddragelse
- Hver
- enestående
- udføre
- henrettet
- udførelse
- eksisterende
- Exploit
- Exploited
- exploits
- langt
- Filer
- Fornavn
- fejl
- Til
- fra
- fuld skala
- Gevinst
- gav
- giver
- mål
- havde
- Have
- Høj ydeevne
- værter
- Hvordan
- How To
- Men
- http
- HTTPS
- Hybrid
- identificeret
- vigtigt
- in
- tegn
- initial
- i første omgang
- indledt
- injicerbar
- instans
- i stedet
- Internet
- undersøgelse
- IT
- ITS
- JavaScript
- Job
- jpg
- juli
- lige
- kendt
- Efternavn
- mindst
- Udnytter
- biblioteker
- Bibliotek
- Sandsynlig
- lokale
- leder
- Main
- ondsindet
- malware
- ledelse
- leder
- Kan..
- mekanismer
- metoder
- Mining
- Monero
- overvågning
- Måned
- måned
- mere
- net
- Ny
- NIST
- bemærkede
- intet
- NSA
- of
- Gammel
- on
- engang
- ONE
- igangværende
- åbent
- open source
- Operatører
- or
- organisationer
- Andet
- vores
- Palo Alto
- lappe
- sti
- Udfør
- Tilladelser
- udholdenhed
- fase
- faser
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- potentiale
- forløber
- Læs
- rapporteret
- anmode
- forskere
- ressource
- svar
- gennemgå
- kører
- runtime
- s
- Said
- gemt
- siger
- scanning
- planlagt
- Anden
- sikkerhed
- Servere
- tjeneste
- bør
- enkelt
- SIX
- Seks måneder
- So
- indtil nu
- Løsninger
- Kilde
- specielt
- delt
- Sponsoreret
- spredes
- stable
- Stage
- butik
- foreslår
- skiftede
- systemet
- Systemer
- taktik
- mål
- målrettet
- rettet mod
- teknikker
- Teknologier
- Teknologier
- Test
- end
- at
- deres
- Them
- derefter
- de
- Tredje
- denne
- denne uge
- trussel
- trusselsaktører
- trusler
- tre
- tid
- til
- værktøj
- prøv
- vender
- to
- enestående
- ukendt
- up-to-date
- opdatering
- brug
- brugere
- ved brug af
- Variant
- sælger
- verificeres
- udgave
- versioner
- via
- Sårbarheder
- sårbarhed
- Sårbar
- advarede
- var
- Wave
- Vej..
- we
- uge
- hvornår
- som
- mens
- WHO
- vinduer
- med
- skriver
- endnu
- Din
- zephyrnet
