"Lucifer" -bottiverkko nostaa Apache Hadoop -palvelimien kuumuutta

Uhkatoimija kohdistuu Apache Hadoopin ja Apache Druidin suurdatateknologioita käyttäviin organisaatioihin uudella versiolla Lucifer-botnetistä, tunnetusta haittaohjelmatyökalusta, joka yhdistää salauksen salauksen ja hajautetun palvelunesto-ominaisuudet (DDoS).

Kampanja on lähtökohta botnetille, ja Aqua Nautilusin tämän viikon analyysi viittaa siihen, että sen operaattorit testaavat uusia tartuntarutiineja laajemman kampanjan edeltäjänä.

Lucifer on itseään levittävä haittaohjelma, josta Palo Alto Networksin tutkijat raportoivat ensimmäisen kerran toukokuussa 2020. Tuolloin yritys kuvaili vaarallisena hybridihaittaohjelmana joita hyökkääjä voisi käyttää mahdollistaakseen DDoS-hyökkäykset tai pudottaakseen XMRig:n Moneron kryptovaluutan louhintaan. Palo Alto sanoi, että oli havaitsi myös Luciferia käyttäviä hyökkääjiä pudottaakseen NSA:n vuotaneen EternalBlue, EternalRomance ja DoublePulsar haittaohjelmat ja hyväksikäytöt kohdejärjestelmissä.

"Lucifer on uusi hybridi kryptojacking- ja DDoS-haittaohjelmista, joka hyödyntää vanhoja haavoittuvuuksia levittääkseen ja suorittaakseen haitallisia toimintoja Windows-alustoilla", Palo Alto varoitti tuolloin.

Nyt se on palannut ja kohdistuu Apache-palvelimiin. Aqua Nautiluksen tutkijat, jotka ovat seuranneet kampanjaa sanoi blogissa tällä viikolla he olivat laskeneet yli 3,000 XNUMX ainutlaatuista hyökkäystä, jotka kohdistuivat yrityksen Apache Hadoop-, Apache Druid- ja Apache Flink -hunajapuruihin vain viimeisen kuukauden aikana.

Luciferin 3 ainutlaatuista hyökkäysvaihetta

Kampanja on jatkunut vähintään kuusi kuukautta, jonka aikana hyökkääjät ovat yrittäneet hyödyntää avoimen lähdekoodin alustojen tunnettuja virhemäärityksiä ja haavoittuvuuksia toimittaakseen hyötykuorman.

Kampanja on tähän mennessä koostunut kolmesta erillisestä vaiheesta, mikä tutkijoiden mukaan on todennäköisesti osoitus siitä, että vastustaja testaa puolustuskiertotekniikoita ennen täysimittaista hyökkäystä.

"Kampanja alkoi kohdistaa hunajaruukkuihimme heinäkuussa", sanoo Nitzan Yaakov, Aqua Nautiluksen tietoturvatietoanalyytikko. "Tutkinnan aikana havaitsimme hyökkääjän päivittävän tekniikoita ja menetelmiä saavuttaakseen hyökkäyksen päätavoitteen - kryptovaluutan louhinnan."

Uuden kampanjan ensimmäisessä vaiheessa Aquan tutkijat havaitsivat hyökkääjien etsivän Internetistä väärin määritettyjä Hadoop-esiintymiä. Kun he havaitsivat väärin määritetyn Hadoop YARN (Yet Another Resource Negotiator) -klusterin resurssienhallinta- ja työn ajoitusteknologian Aquan honeypotissa, he kohdistavat kyseisen esiintymän hyväksikäyttötoimintaan. Aquan honeypotin väärin konfiguroitu ilmentymä liittyi Hadoop YARN:n resurssienhallintaan, ja se antoi hyökkääjille tavan suorittaa mielivaltainen koodi sille erityisesti laaditun HTTP-pyynnön kautta.

Hyökkääjät käyttivät väärin määritystä ladatakseen Luciferin, suorittaakseen sen ja tallentaakseen sen Hadoop YARN -esiintymän paikalliseen hakemistoon. Sitten he varmistivat, että haittaohjelma toteutettiin aikataulun mukaisesti pysyvyyden varmistamiseksi. Aqua havaitsi myös, että hyökkääjä poisti binaarin polulta, johon se alun perin tallennettu, yrittääkseen välttää havaitsemisen.

Hyökkäysten toisessa vaiheessa uhkatoimijat kohdistuivat jälleen Hadoop-suurdatapinon virheellisiin kokoonpanoihin yrittääkseen päästä alkuun. Tällä kertaa kuitenkin yhden binaarin pudottamisen sijaan hyökkääjät pudottivat kaksi vaarantuneen järjestelmän päälle – toisen, joka teloitti Luciferin ja toisen, joka ei ilmeisesti tehnyt mitään.

Kolmannessa vaiheessa hyökkääjä vaihtoi taktiikkaa ja sen sijaan, että olisi kohdistanut kohteen väärin määritettyihin Apache Hadoop -esiintymiin, alkoi etsiä haavoittuvia Apache Druid -isäntiä. Aquan versio Apache Druid -palvelusta sen honeypotissa oli unpatched vastaan CVE-2021-25646, komennon lisäyshaavoittuvuus tietyissä tehokkaan analytiikkatietokannan versioissa. Haavoittuvuus antaa todennetuille hyökkääjille tavan suorittaa käyttäjän määrittämää JavaScript-koodia järjestelmissä, joita tämä koskee.

Hyökkääjä käytti virhettä ja antoi komennon ladata kaksi binaaria ja antaa niille luku-, kirjoitus- ja suoritusoikeudet kaikille käyttäjille, Aqua sanoi. Toinen binaareista aloitti Luciferin latauksen, kun taas toinen suoritti haittaohjelman. Tässä vaiheessa hyökkääjän päätös jakaa Luciferin lataaminen ja suorittaminen kahden binaaritiedoston kesken näyttää olleen yritys ohittaa tunnistusmekanismit, tietoturvatoimittaja huomautti.

Kuinka välttää helvetin kyberhyökkäys Apache Big Dataan

Ennen kuin Apache-esiintymiä vastaan ​​tulee mahdollisia hyökkäyksiä, yritysten tulee tarkistaa jalanjäljestään yleisten virheiden varalta ja varmistaa, että kaikki korjaukset ovat ajan tasalla.

Tämän lisäksi tutkijat huomauttivat, että "tuntemattomat uhat voidaan tunnistaa skannaamalla ympäristösi ajonaikaisilla tunnistus- ja vastausratkaisuilla, jotka voivat havaita poikkeuksellisen käyttäytymisen ja varoittaa siitä", ja että "on tärkeää olla varovainen ja tietoinen olemassa olevista uhista, kun käyttämällä avoimen lähdekoodin kirjastoja. Jokainen kirjasto ja koodi tulee ladata vahvistetulta jakelijalta."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers