'लूसिफ़ेर' बॉटनेट अपाचे Hadoop सर्वर पर गर्मी बढ़ाता है

'लूसिफ़ेर' बॉटनेट अपाचे Hadoop सर्वर पर गर्मी बढ़ाता है

समय टिकट: 21 फरवरी, 2024 अपराह्न 5:48 बजे
'लूसिफ़ेर' बॉटनेट अपाचे Hadoop सर्वर प्लेटोब्लॉकचेन डेटा इंटेलिजेंस पर गर्मी बढ़ाता है। लंबवत खोज. ऐ.

एक खतरनाक अभिनेता लूसिफ़ेर बॉटनेट के एक नए संस्करण के साथ अपाचे हडूप और अपाचे ड्र्यूड बड़ी डेटा तकनीकों को चलाने वाले संगठनों को लक्षित कर रहा है, जो एक ज्ञात मैलवेयर टूल है जो क्रिप्टोजैकिंग और वितरित सेवा से इनकार (डीडीओएस) क्षमताओं को जोड़ता है।

अभियान बॉटनेट के लिए एक प्रस्थान है, और एक्वा नॉटिलस के इस सप्ताह के विश्लेषण से पता चलता है कि इसके संचालक व्यापक अभियान के अग्रदूत के रूप में नई संक्रमण दिनचर्या का परीक्षण कर रहे हैं।

लूसिफ़ेर स्व-प्रचारित मैलवेयर है जिसे पालो ऑल्टो नेटवर्क्स के शोधकर्ताओं ने पहली बार मई 2020 में रिपोर्ट किया था। उस समय, कंपनी ने इसका वर्णन किया था खतरनाक हाइब्रिड मैलवेयर के रूप में खतरा जिसका उपयोग एक हमलावर DDoS हमलों को सक्षम करने के लिए, या मोनेरो क्रिप्टोकरेंसी के खनन के लिए XMRig को छोड़ने के लिए कर सकता है। पालो आल्टो ने कहा कि यह था हमलावरों को लूसिफ़ेर का उपयोग करते हुए भी देखा एनएसए की लीक को हटाने के लिए इटरनलब्लू, इटरनलरोमांस और डबलपल्सर मैलवेयर और लक्ष्य प्रणालियों पर शोषण।

पालो ऑल्टो ने उस समय चेतावनी दी थी, "लूसिफ़ेर क्रिप्टोजैकिंग और DDoS मैलवेयर वेरिएंट का एक नया हाइब्रिड है जो विंडोज़ प्लेटफ़ॉर्म पर दुर्भावनापूर्ण गतिविधियों को फैलाने और निष्पादित करने के लिए पुरानी कमजोरियों का लाभ उठाता है।"

अब, यह वापस आ गया है और अपाचे सर्वर को लक्षित कर रहा है। एक्वा नॉटिलस के शोधकर्ता जो अभियान की निगरानी कर रहे हैं इस सप्ताह एक ब्लॉग में कहा गया उन्होंने पिछले महीने ही कंपनी के Apache Hadoop, Apache Druid और Apache Flink हनीपोट्स को निशाना बनाकर 3,000 से अधिक अनोखे हमले किए थे।

लूसिफ़ेर के 3 अद्वितीय आक्रमण चरण

यह अभियान कम से कम छह महीने से चल रहा है, इस दौरान हमलावर अपने पेलोड को वितरित करने के लिए ओपन सोर्स प्लेटफॉर्म में ज्ञात गलत कॉन्फ़िगरेशन और कमजोरियों का फायदा उठाने का प्रयास कर रहे हैं।

अब तक के अभियान में तीन अलग-अलग चरण शामिल हैं, शोधकर्ताओं ने कहा कि यह संभवतः एक संकेत है कि प्रतिद्वंद्वी पूर्ण पैमाने पर हमले से पहले रक्षा चोरी तकनीकों का परीक्षण कर रहा है।

एक्वा नॉटिलस के सुरक्षा डेटा विश्लेषक नित्ज़न याकोव कहते हैं, "जुलाई में अभियान ने हमारे हनीपोट्स को लक्षित करना शुरू किया।" "हमारी जांच के दौरान, हमने देखा कि हमलावर हमले के मुख्य लक्ष्य - खनन क्रिप्टोकरेंसी को प्राप्त करने के लिए तकनीकों और तरीकों को अपडेट कर रहा है।"

नए अभियान के पहले चरण के दौरान, एक्वा शोधकर्ताओं ने हमलावरों को गलत कॉन्फ़िगर किए गए Hadoop उदाहरणों के लिए इंटरनेट स्कैन करते हुए देखा। जब उन्हें एक्वा के हनीपॉट पर गलत कॉन्फ़िगर किए गए Hadoop YARN (फिर भी एक अन्य संसाधन वार्ताकार) क्लस्टर संसाधन प्रबंधन और जॉब शेड्यूलर तकनीक का पता चला, तो उन्होंने शोषण गतिविधि के लिए उस उदाहरण को लक्षित किया। एक्वा के हनीपोट पर गलत कॉन्फ़िगर किए गए उदाहरण का संबंध Hadoop YARN के संसाधन प्रबंधक से था और इसने हमलावरों को विशेष रूप से तैयार किए गए HTTP अनुरोध के माध्यम से इस पर मनमाना कोड निष्पादित करने का एक तरीका दिया।

हमलावरों ने लूसिफ़ेर को डाउनलोड करने, उसे निष्पादित करने और Hadoop YARN इंस्टेंस की स्थानीय निर्देशिका में संग्रहीत करने के लिए गलत कॉन्फ़िगरेशन का फायदा उठाया। फिर उन्होंने सुनिश्चित किया कि मैलवेयर को निरंतरता सुनिश्चित करने के लिए निर्धारित आधार पर निष्पादित किया गया था। एक्वा ने यह भी देखा कि हमलावर बाइनरी को उस पथ से हटा रहा है जहां उसे पहचान से बचने की कोशिश करने के लिए शुरू में सहेजा गया था।

हमलों के दूसरे चरण में, प्रारंभिक पहुंच हासिल करने की कोशिश करने के लिए खतरे वाले अभिनेताओं ने एक बार फिर Hadoop बड़े-डेटा स्टैक में गलत कॉन्फ़िगरेशन को लक्षित किया। हालाँकि, इस बार, एक भी बाइनरी को छोड़ने के बजाय, हमलावरों ने समझौता किए गए सिस्टम पर दो को गिरा दिया - एक जिसने लूसिफ़ेर को मार डाला और दूसरा जिसने स्पष्ट रूप से कुछ नहीं किया।

तीसरे चरण में, हमलावर ने रणनीति बदल दी और गलत तरीके से कॉन्फ़िगर किए गए अपाचे हडोप उदाहरणों को लक्षित करने के बजाय, कमजोर अपाचे ड्र्यूड होस्ट की तलाश शुरू कर दी। एक्वा के हनीपोट पर अपाचे ड्र्यूड सेवा का संस्करण अप्रकाशित था CVE-2021-25646, उच्च-प्रदर्शन विश्लेषण डेटाबेस के कुछ संस्करणों में एक कमांड इंजेक्शन भेद्यता। भेद्यता प्रमाणित हमलावरों को प्रभावित सिस्टम पर उपयोगकर्ता-परिभाषित जावास्क्रिप्ट कोड निष्पादित करने का एक तरीका देती है।

एक्वा ने कहा, हमलावर ने दो बायनेरिज़ डाउनलोड करने और उन्हें सभी उपयोगकर्ताओं के लिए पढ़ने, लिखने और निष्पादित करने की अनुमति देने के लिए एक कमांड इंजेक्ट करने के लिए दोष का फायदा उठाया। बायनेरिज़ में से एक ने लूसिफ़ेर के डाउनलोड की शुरुआत की, जबकि दूसरे ने मैलवेयर को अंजाम दिया। सुरक्षा विक्रेता ने कहा कि इस चरण में, लूसिफ़ेर की डाउनलोडिंग और निष्पादन को दो बाइनरी फ़ाइलों के बीच विभाजित करने का हमलावर का निर्णय पहचान तंत्र को बायपास करने का एक प्रयास प्रतीत होता है।

अपाचे बिग डेटा पर नारकीय साइबर हमले से कैसे बचें

अपाचे उदाहरणों के खिलाफ हमलों की संभावित आने वाली लहर से पहले, उद्यमों को सामान्य गलत कॉन्फ़िगरेशन के लिए अपने पदचिह्नों की समीक्षा करनी चाहिए, और सुनिश्चित करना चाहिए कि सभी पैचिंग अद्यतित हैं।

इसके अलावा, शोधकर्ताओं ने नोट किया कि "अज्ञात खतरों को रनटाइम डिटेक्शन और प्रतिक्रिया समाधानों के साथ आपके वातावरण को स्कैन करके पहचाना जा सकता है, जो असाधारण व्यवहार का पता लगा सकता है और इसके बारे में चेतावनी दे सकता है" और "मौजूदा खतरों के प्रति सतर्क और जागरूक रहना महत्वपूर्ण है" ओपन-सोर्स लाइब्रेरीज़ का उपयोग करना। प्रत्येक लाइब्रेरी और कोड को एक सत्यापित वितरक से डाउनलोड किया जाना चाहिए।

समय टिकट:

से अधिक डार्क रीडिंग