Botnet 'Lucifer' Meningkatkan Panas di Server Apache Hadoop

Pelaku ancaman menargetkan organisasi yang menjalankan teknologi data besar Apache Hadoop dan Apache Druid dengan versi baru botnet Lucifer, alat malware terkenal yang menggabungkan kemampuan cryptojacking dan penolakan layanan terdistribusi (DDoS).

Kampanye ini merupakan awal dari botnet, dan analisis minggu ini dari Aqua Nautilus menunjukkan bahwa operatornya sedang menguji rutinitas infeksi baru sebagai awal dari kampanye yang lebih luas.

Lucifer adalah malware yang dapat menyebar sendiri dan pertama kali dilaporkan oleh para peneliti di Palo Alto Networks pada bulan Mei 2020. Saat itu, perusahaan tersebut menjelaskan ancaman sebagai malware hybrid yang berbahaya yang dapat digunakan penyerang untuk mengaktifkan serangan DDoS, atau untuk menjatuhkan XMRig untuk menambang mata uang kripto Monero. Palo Alto bilang begitu mengamati penyerang juga menggunakan Lucifer untuk menjatuhkan bocoran NSA EternalBlue, EternalRomance, dan DoublePulsar malware dan eksploitasi pada sistem target.

“Lucifer adalah gabungan baru dari varian malware cryptojacking dan DDoS yang memanfaatkan kerentanan lama untuk menyebarkan dan melakukan aktivitas berbahaya di platform Windows,” Palo Alto memperingatkan pada saat itu.

Sekarang, ia kembali dan menargetkan server Apache. Peneliti dari Aqua Nautilus yang telah memantau kampanye tersebut katanya dalam sebuah blog minggu ini mereka telah menghitung lebih dari 3,000 serangan unik yang menargetkan honeypot Apache Hadoop, Apache Druid, dan Apache Flink milik perusahaan hanya dalam sebulan terakhir saja.

3 Fase Serangan Unik Lucifer

Kampanye ini telah berlangsung setidaknya selama enam bulan, selama waktu tersebut para penyerang berusaha mengeksploitasi kesalahan konfigurasi dan kerentanan yang diketahui pada platform open source untuk mengirimkan muatan mereka.

Kampanye tersebut sejauh ini terdiri dari tiga fase berbeda, yang menurut para peneliti kemungkinan besar merupakan indikasi bahwa musuh sedang menguji teknik penghindaran pertahanan sebelum melakukan serangan skala penuh.

“Kampanye ini mulai menargetkan honeypot kami pada bulan Juli,” kata Nitzan Yaakov, analis data keamanan di Aqua Nautilus. “Selama penyelidikan kami, kami mengamati penyerang memperbarui teknik dan metode untuk mencapai tujuan utama serangan – menambang cryptocurrency.”

Selama tahap pertama kampanye baru, peneliti Aqua mengamati penyerang memindai Internet untuk mencari contoh Hadoop yang salah dikonfigurasi. Ketika mereka mendeteksi manajemen sumber daya klaster Hadoop YARN (Yet Another Resource Negotiator) dan teknologi penjadwal pekerjaan yang salah dikonfigurasi pada honeypot Aqua, mereka menargetkan instance tersebut untuk aktivitas eksploitasi. Contoh yang salah dikonfigurasi pada honeypot Aqua ada hubungannya dengan manajer sumber daya Hadoop YARN dan memberi penyerang cara untuk mengeksekusi kode arbitrer melalui permintaan HTTP yang dibuat khusus.

Para penyerang mengeksploitasi kesalahan konfigurasi untuk mengunduh Lucifer, menjalankannya dan menyimpannya ke direktori lokal instance Hadoop YARN. Mereka kemudian memastikan malware tersebut dieksekusi secara terjadwal untuk memastikan kegigihannya. Aqua juga mengamati penyerang menghapus biner dari jalur penyimpanan awalnya untuk mencoba menghindari deteksi.

Pada serangan fase kedua, pelaku ancaman sekali lagi menargetkan kesalahan konfigurasi di tumpukan data besar Hadoop untuk mencoba dan mendapatkan akses awal. Namun kali ini, alih-alih menjatuhkan satu biner, para penyerang menjatuhkan dua biner pada sistem yang telah disusupi — satu yang mengeksekusi Lucifer dan yang lainnya tampaknya tidak melakukan apa pun.

Pada fase ketiga, penyerang mengganti taktik dan, alih-alih menargetkan instance Apache Hadoop yang salah dikonfigurasi, malah mulai mencari host Apache Druid yang rentan. Versi Aqua dari layanan Apache Druid pada honeypotnya belum ditambal CVE-2021-25646, kerentanan injeksi perintah di versi tertentu dari database analitik kinerja tinggi. Kerentanan ini memberi penyerang terotentikasi cara untuk mengeksekusi kode JavaScript yang ditentukan pengguna pada sistem yang terpengaruh.

Penyerang mengeksploitasi kelemahan tersebut untuk memasukkan perintah untuk mengunduh dua biner dan mengaktifkannya dengan izin baca, tulis, dan eksekusi untuk semua pengguna, kata Aqua. Salah satu biner memulai pengunduhan Lucifer, sementara biner lainnya mengeksekusi malware. Pada fase ini, keputusan penyerang untuk membagi pengunduhan dan eksekusi Lucifer antara dua file biner tampaknya merupakan upaya untuk melewati mekanisme deteksi, kata vendor keamanan.

Cara Menghindari Serangan Siber yang Mengerikan di Apache Big Data

Menjelang potensi gelombang serangan terhadap instance Apache, perusahaan harus meninjau jejak kesalahan konfigurasi yang umum terjadi, dan memastikan semua patching adalah yang terbaru.

Selain itu, para peneliti mencatat bahwa “ancaman yang tidak diketahui dapat diidentifikasi dengan memindai lingkungan Anda menggunakan deteksi runtime dan solusi respons, yang dapat mendeteksi perilaku luar biasa dan memperingatkannya,” dan bahwa “penting untuk berhati-hati dan waspada terhadap ancaman yang ada saat menggunakan perpustakaan sumber terbuka. Setiap perpustakaan dan kode harus diunduh dari distributor terverifikasi.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers