攻撃者は、クリプトジャッキングと分散型サービス拒否 (DDoS) 機能を組み合わせた既知のマルウェア ツールである Lucifer ボットネットの新バージョンを使用して、Apache Hadoop および Apache Druid ビッグ データ テクノロジを実行している組織をターゲットにしています。
このキャンペーンはボットネットにとって出発点であり、Aqua Nautilus の今週の分析では、ボットネットの運営者がより広範なキャンペーンの前兆として新しい感染ルーチンをテストしていることが示唆されています。
Lucifer は、パロアルトネットワークスの研究者が 2020 年 XNUMX 月に初めて報告した自己増殖型マルウェアです。当時、同社は 危険なハイブリッド マルウェアとしての脅威 攻撃者が DDoS 攻撃を有効にしたり、Monero 暗号通貨をマイニングするための XMRig をドロップしたりするために使用する可能性があります。パロアルトはそう言った 攻撃者も Lucifer を使用していることが観察されました NSAの漏洩情報を削除する エターナルブルー、エターナルロマンス、ダブルパルサー ターゲット システム上のマルウェアとエクスプロイト。
パロアルトは当時、「LuciferはクリプトジャッキングとDDoSマルウェアの亜種を組み合わせた新たな亜種であり、古い脆弱性を利用してWindowsプラットフォーム上で悪意のある活動を広め、実行する」と警告していた。
現在、それは戻ってきて、Apache サーバーをターゲットにしています。このキャンペーンを監視してきた Aqua Nautilus の研究者 今週のブログで言ってた 彼らは、先月だけで、同社の Apache Hadoop、Apache Druid、および Apache Flink ハニーポットをターゲットとした 3,000 件を超える独自の攻撃を数えていました。
ルシファーの 3 つのユニークな攻撃フェーズ
このキャンペーンは少なくとも 6 か月間継続されており、その間、攻撃者はオープン ソース プラットフォームの既知の構成ミスや脆弱性を悪用してペイロードを配信しようと試みてきました。
これまでの攻撃は 3 つの異なるフェーズで構成されており、研究者らは、これは敵が本格的な攻撃に先立って防御回避技術をテストしていることを示している可能性が高いと述べています。
「このキャンペーンは 7 月に当社のハニーポットをターゲットにし始めました」と、Aqua Nautilus のセキュリティ データ アナリストである Nitzan Yaakov 氏は述べています。 「調査中に、攻撃者が攻撃の主な目的である暗号通貨のマイニングを達成するために技術と方法を更新していることを観察しました。」
新しいキャンペーンの第 1 段階で、Aqua の研究者は、攻撃者がインターネットをスキャンして、構成が間違っている Hadoop インスタンスを探していることを観察しました。 Aqua のハニーポット上で、誤って構成された Hadoop YARN (Yet Another Resource Negotiator) クラスター リソース管理およびジョブ スケジューラ テクノロジを検出したとき、彼らはそのインスタンスを悪用活動のターゲットにしました。 Aqua のハニーポット上の誤った構成のインスタンスは Hadoop YARN のリソース マネージャーに関係しており、特別に細工された HTTP リクエストを介して攻撃者に任意のコードを実行する手段を与えていました。
攻撃者は構成ミスを悪用して Lucifer をダウンロードし、実行して Hadoop YARN インスタンスのローカル ディレクトリに保存しました。次に、マルウェアがスケジュールに基づいて実行され、永続性が確保されるようにしました。 Aqua は、攻撃者が検出を回避するために最初に保存されたパスからバイナリを削除していることも観察しました。
攻撃の第 2 段階では、攻撃者は再び Hadoop ビッグデータ スタックの構成ミスを標的にして、初期アクセスを取得しようとしました。しかし今回、攻撃者は 1 つのバイナリをドロップする代わりに、侵害されたシステムに 2 つのバイナリをドロップしました。1 つはルシファーを実行し、もう 1 つは明らかに何もしませんでした。
第 3 フェーズでは、攻撃者は戦術を切り替え、設定が間違っている Apache Hadoop インスタンスをターゲットにするのではなく、脆弱な Apache Druid ホストを探し始めました。 Aqua のハニーポット上の Apache Druid サービスのバージョンにはパッチが適用されていませんでした CVE-2021-25646、高性能分析データベースの特定のバージョンに存在するコマンド インジェクションの脆弱性。この脆弱性により、認証された攻撃者は影響を受けるシステム上でユーザー定義の JavaScript コードを実行する手段が与えられます。
Aqua 氏によると、攻撃者はこの欠陥を悪用して、2 つのバイナリをダウンロードし、すべてのユーザーに対して読み取り、書き込み、実行の権限を与えるコマンドを挿入したという。バイナリの 1 つは Lucifer のダウンロードを開始し、もう 1 つはマルウェアを実行しました。この段階で、Lucifer のダウンロードと実行を 2 つのバイナリ ファイルに分割するという攻撃者の決定は、検出メカニズムをバイパスする試みだったようだとセキュリティ ベンダーは指摘しました。
Apache ビッグデータに対する地獄のようなサイバー攻撃を回避する方法
Apache インスタンスに対する今後の攻撃の可能性を前に、企業は一般的な構成ミスのフットプリントを確認し、すべてのパッチが最新であることを確認する必要があります。
さらに研究者らは、「ランタイム検出および対応ソリューションを使用して環境をスキャンすることで未知の脅威を特定できる。これにより、異常な動作を検出して警告することができる」、「既存の脅威を警戒し、認識しておくことが重要である」と述べています。オープンソース ライブラリを使用します。すべてのライブラリとコードは、検証済みのディストリビュータからダウンロードする必要があります。」
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
- :持っている
- :は
- :どこ
- $UP
- 000
- 2020
- 7
- a
- 私たちについて
- それについて
- アクセス
- 達成する
- 活動
- アクティビティ
- 俳優
- 影響を受けました
- 再び
- に対して
- 警告
- すべて
- 一人で
- また
- an
- 分析
- アナリスト
- 分析論
- および
- 別の
- アパッチ
- 登場する
- アクア
- 任意
- です
- AS
- At
- 攻撃
- アタッカー
- 攻撃
- 試み
- 試みる
- 認証された
- 避ける
- 知って
- バック
- 基礎
- BE
- き
- 始まった
- 行動
- の間に
- ビッグ
- ビッグデータ
- ブログ
- ボットネット
- より広い
- by
- キャンペーン
- 缶
- 機能
- 用心深い
- 一定
- クラスタ
- コード
- 組み合わせ
- 到来
- コマンドと
- 会社
- 構成
- 損害を受けた
- 可能性
- 細工された
- cryptocurrency
- クリプトジャッキ
- サイバー攻撃
- 危険な
- データ
- データベース
- DDoS攻撃
- 決定
- 防衛
- 配信する
- サービス拒否
- 出発
- 記載された
- 検出
- 検出された
- 検出
- DID
- ディレクトリにジョブを開始します。
- 明確な
- 配布
- 代理店
- do
- ダウンロード
- ダウンロード
- Drop
- 落とした
- 落ちる
- ドルイド
- 間に
- enable
- 有効にする
- 確保
- 確実
- 企業
- 環境
- 逃げる
- 回避
- あらゆる
- 例外的
- 実行します
- 実行された
- 実行
- 既存の
- 悪用する
- 搾取
- エクスプロイト
- 遠く
- 名
- 欠陥
- から
- 本格的
- 利得
- 与えた
- 与える
- 目標
- 持っていました
- 持ってる
- ハイパフォーマンス
- ホスト
- 認定条件
- How To
- しかしながら
- HTTP
- HTTPS
- ハイブリッド
- 特定され
- 重要
- in
- 表示
- 初期
- 当初
- 開始
- 注入します
- を取得する必要がある者
- インターネット
- 調査
- IT
- ITS
- JavaScriptを
- ジョブ
- JPG
- 7月
- ただ
- 既知の
- 姓
- 最低
- レバレッジ
- ライブラリ
- 図書館
- 可能性が高い
- ローカル
- 探して
- メイン
- 悪意のある
- マルウェア
- 管理
- マネージャー
- 五月..
- メカニズム
- メソッド
- 鉱業
- Monero
- モニタリング
- 月
- ヶ月
- 他には?
- ネットワーク
- 新作
- ニスト
- 注意
- 何も
- NSA
- of
- 古い
- on
- かつて
- ONE
- 継続
- 開いた
- オープンソース
- 演算子
- or
- 組織
- その他
- 私たちの
- パロアルト
- 補修
- path
- 実行する
- パーミッション
- 持続性
- 相
- フェーズ
- プラットフォーム
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 潜在的な
- 先駆者
- 読む
- 報告
- 要求
- 研究者
- リソースを追加する。
- 応答
- レビュー
- ランニング
- ランタイム
- s
- 前記
- 保存されました
- 言う
- スキャニング
- 予定の
- 二番
- セキュリティ
- サーバー
- サービス
- すべき
- SIX
- 半年
- So
- これまでのところ
- ソリューション
- ソース
- 特別に
- split
- スポンサー
- 広がる
- スタック
- ステージ
- 店舗
- 提案する
- 切り替え
- システム
- 戦術
- ターゲット
- 対象となります
- ターゲット
- テクニック
- テクノロジー
- テクノロジー
- テスト
- より
- それ
- アプリ環境に合わせて
- それら
- その後
- 彼ら
- 三番
- この
- 今週
- 脅威
- 脅威アクター
- 脅威
- 三
- 時間
- 〜へ
- ツール
- 試します
- ターン
- 2
- ユニーク
- 未知の
- 最新
- 更新
- つかいます
- users
- バリアント
- ベンダー
- 検証
- バージョン
- バージョン
- 、
- 脆弱性
- 脆弱性
- 脆弱な
- 警告
- ました
- ウェーブ
- 仕方..
- we
- 週間
- いつ
- which
- while
- 誰
- ウィンドウズ
- 書きます
- まだ
- あなたの
- ゼファーネット