Botnet „Lucifer” podkręca temperaturę na serwerach Apache Hadoop

Osoba zagrażająca atakuje organizacje korzystające z technologii dużych zbiorów danych Apache Hadoop i Apache Druid za pomocą nowej wersji botnetu Lucyfer – znanego narzędzia szkodliwego oprogramowania, które łączy funkcje cryptojackingu i rozproszonej odmowy usługi (DDoS).

Kampania ta stanowi odejście od botnetu, a analiza przeprowadzona w tym tygodniu przez Aqua Nautilus sugeruje, że jego operatorzy testują nowe procedury infekcji w ramach wstępu do szerszej kampanii.

Lucyfer to samorozprzestrzeniające się złośliwe oprogramowanie, o którym po raz pierwszy zgłosili badacze z Palo Alto Networks w maju 2020 r. Firma opisała wówczas zagrożenie jako niebezpieczne hybrydowe złośliwe oprogramowanie które atakujący mógłby wykorzystać do umożliwienia ataków DDoS lub do upuszczenia XMRig w celu wydobywania kryptowaluty Monero. Palo Alto powiedział, że tak zaobserwowali, że napastnicy również używali Lucyfera aby usunąć wycieki NSA EternalBlue, EternalRomance i DoublePulsar złośliwe oprogramowanie i exploity w systemach docelowych.

„Lucifer to nowa hybryda kryptojackingu i wariantu złośliwego oprogramowania DDoS, która wykorzystuje stare luki w zabezpieczeniach do rozprzestrzeniania się i wykonywania złośliwych działań na platformach Windows” – ostrzegł wówczas Palo Alto.

Teraz powraca i atakuje serwery Apache. Naukowcy z Aqua Nautilus, którzy monitorują kampanię powiedział w tym tygodniu na blogu naliczyli ponad 3,000 unikalnych ataków wymierzonych w Honeypoty Apache Hadoop, Apache Druid i Apache Flink firmy tylko w ciągu ostatniego miesiąca.

Trzy unikalne fazy ataku Lucyfera

Kampania trwa od co najmniej sześciu miesięcy i w tym czasie napastnicy próbowali wykorzystać znane błędne konfiguracje i luki w zabezpieczeniach platform open source w celu dostarczenia swojego ładunku.

Jak dotąd kampania składała się z trzech odrębnych faz, co zdaniem badaczy prawdopodobnie wskazuje, że przeciwnik testuje techniki unikania obrony przed atakiem na pełną skalę.

„Kampania zaczęła być skierowana do naszych Honeypotów w lipcu” – mówi Nitzan Yaakov, analityk danych dotyczących bezpieczeństwa w Aqua Nautilus. „Podczas naszego dochodzenia zaobserwowaliśmy, jak atakujący aktualizuje techniki i metody, aby osiągnąć główny cel ataku – wydobywanie kryptowaluty”.

Podczas pierwszego etapu nowej kampanii badacze Aqua zaobserwowali, jak osoby atakujące skanują Internet w poszukiwaniu błędnie skonfigurowanych instancji Hadoop. Kiedy wykryli błędnie skonfigurowaną technologię zarządzania zasobami klastra Hadoop YARN (Yet Another Resource Negotiator) i technologię planowania zadań w Honeypocie Aqua, obrali za cel tę instancję pod kątem aktywności exploitów. Błędnie skonfigurowana instancja Honeypota Aqua miała związek z menedżerem zasobów Hadoop YARN i umożliwiła atakującym wykonanie na niej dowolnego kodu za pomocą specjalnie spreparowanego żądania HTTP.

Napastnicy wykorzystali błędną konfigurację do pobrania Lucyfera, uruchomienia go i zapisania w lokalnym katalogu instancji Hadoop YARN. Następnie upewnili się, że złośliwe oprogramowanie zostało uruchomione zgodnie z harmonogramem, aby zapewnić trwałość. Aqua zaobserwowała również, jak osoba atakująca usuwa plik binarny ze ścieżki, w której został pierwotnie zapisany, aby uniknąć wykrycia.

W drugiej fazie ataków przestępcy ponownie obrali za cel błędne konfiguracje stosu dużych zbiorów danych Hadoop, próbując uzyskać początkowy dostęp. Tym razem jednak zamiast upuścić pojedynczy plik binarny, napastnicy upuścili dwa na zaatakowany system — jeden, który spowodował egzekucję Lucyfera, a drugi, który najwyraźniej nic nie zrobił.

W trzeciej fazie atakujący zmienił taktykę i zamiast celować w źle skonfigurowane instancje Apache Hadoop, zaczął szukać podatnych na ataki hostów Apache Druid. Wersja usługi Apache Druid firmy Aqua na jej Honeypocie nie zawierała poprawek CVE-2021-25646, luka w zabezpieczeniach umożliwiająca wstrzykiwanie poleceń w niektórych wersjach wysokowydajnej bazy danych analitycznych. Luka umożliwia uwierzytelnionym atakującym wykonanie zdefiniowanego przez użytkownika kodu JavaScript w systemach, których dotyczy luka.

Aqua twierdzi, że osoba atakująca wykorzystała tę lukę, aby wprowadzić polecenie pobrania dwóch plików binarnych i przyznania im uprawnień do odczytu, zapisu i wykonywania wszystkim użytkownikom. Jeden z plików binarnych zainicjował pobieranie Lucyfera, podczas gdy drugi wykonał szkodliwe oprogramowanie. Dostawca zabezpieczeń zauważył, że na tym etapie decyzja osoby atakującej o podziale pobierania i wykonywania Lucyfera na dwa pliki binarne wydaje się próbą ominięcia mechanizmów wykrywania.

Jak uniknąć piekielnego cyberataku na Apache Big Data

Przed potencjalną nadchodzącą falą ataków na instancje Apache przedsiębiorstwa powinny sprawdzić swoje ślady pod kątem typowych błędnych konfiguracji i upewnić się, że wszystkie łatki są aktualne.

Poza tym badacze zauważyli, że „nieznane zagrożenia można zidentyfikować poprzez skanowanie środowisk za pomocą rozwiązań do wykrywania i reagowania w czasie wykonywania, które mogą wykryć wyjątkowe zachowania i ostrzegać o nich” oraz że „ważne jest, aby zachować ostrożność i świadomość istniejących zagrożeń podczas przy użyciu bibliotek open source. Każdą bibliotekę i kod należy pobrać od zweryfikowanego dystrybutora.”

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers