Ботнет «Люцифер» усиливает накал на серверах Apache Hadoop

Злоумышленник нацелен на организации, использующие технологии больших данных Apache Hadoop и Apache Druid, с помощью новой версии ботнета Lucifer, известного вредоносного инструмента, который сочетает в себе возможности криптоджекинга и распределенного отказа в обслуживании (DDoS).

Эта кампания является отправной точкой для ботнета, и анализ, проведенный на этой неделе Aqua Nautilus, показывает, что ее операторы тестируют новые процедуры заражения в качестве предшественника более широкой кампании.

Lucifer — это самораспространяющееся вредоносное ПО, о котором исследователи Palo Alto Networks впервые сообщили в мае 2020 года. Тогда компания описала угроза как опасное гибридное вредоносное ПО который злоумышленник может использовать для реализации DDoS-атак или для удаления XMRig для майнинга криптовалюты Monero. Пало-Альто сказал, что это было заметили, что злоумышленники также используют Люцифера прекратить утечку информации АНБ EternalBlue, EternalRomance и DoublePulsar вредоносное ПО и эксплойты в целевых системах.

«Lucifer — это новый гибрид криптоджекинга и варианта вредоносного ПО для DDoS-атак, который использует старые уязвимости для распространения и выполнения вредоносных действий на платформах Windows», — предупредил тогда Пало-Альто.

Теперь он вернулся и нацелен на серверы Apache. Исследователи из Aqua Nautilus, следившие за кампанией сказал в блоге на этой неделе только за последний месяц они насчитали более 3,000 уникальных атак, нацеленных на приманки Apache Hadoop, Apache Druid и Apache Flink.

3 уникальные фазы атаки Люцифера

Кампания продолжается уже как минимум шесть месяцев, в течение которых злоумышленники пытались использовать известные неверные конфигурации и уязвимости в платформах с открытым исходным кодом для доставки своей полезной нагрузки.

На данный момент кампания состоит из трех отдельных этапов, что, по мнению исследователей, вероятно, является признаком того, что противник тестирует методы уклонения от защиты перед полномасштабной атакой.

«Кампания начала атаковать наши ловушки в июле», — говорит Ницан Яаков, аналитик данных безопасности компании Aqua Nautilus. «В ходе нашего расследования мы наблюдали, как злоумышленник обновляет техники и методы для достижения основной цели атаки — майнинга криптовалюты».

На первом этапе новой кампании исследователи Aqua наблюдали, как злоумышленники сканировали Интернет в поисках неправильно настроенных экземпляров Hadoop. Когда они обнаружили неправильно настроенную технологию управления ресурсами кластера Hadoop YARN (Yet Another Resource Negotiator) и планировщика заданий в ловушке Aqua, они выбрали этот экземпляр для эксплойтной активности. Неправильно сконфигурированный экземпляр приманки Aqua был связан с менеджером ресурсов Hadoop YARN и давал злоумышленникам возможность выполнить на нем произвольный код с помощью специально созданного HTTP-запроса.

Злоумышленники воспользовались неправильной конфигурацией, чтобы загрузить Lucifer, выполнить его и сохранить в локальном каталоге экземпляра Hadoop YARN. Затем они обеспечили запуск вредоносного ПО по расписанию, чтобы обеспечить его устойчивость. Аква также заметила, как злоумышленник удалил двоичный файл из пути, где он изначально был сохранен, чтобы попытаться избежать обнаружения.

На втором этапе атак злоумышленники снова нацелились на неправильные конфигурации в стеке больших данных Hadoop, чтобы попытаться получить первоначальный доступ. Однако на этот раз вместо того, чтобы удалить один двоичный файл, злоумышленники загрузили в скомпрометированную систему два — один, который выполнил Люцифера, а другой, по-видимому, ничего не сделал.

На третьем этапе злоумышленник сменил тактику и вместо того, чтобы атаковать неправильно сконфигурированные экземпляры Apache Hadoop, начал искать уязвимые хосты Apache Druid. Версия службы Apache Druid компании Aqua на ее приманке не была исправлена. CVE-2021-25646, уязвимость внедрения команд в некоторых версиях высокопроизводительной аналитической базы данных. Эта уязвимость дает злоумышленникам, прошедшим проверку подлинности, возможность выполнять пользовательский код JavaScript на затронутых системах.

По словам Аква, злоумышленник воспользовался уязвимостью, чтобы ввести команду для загрузки двух двоичных файлов и предоставления им разрешений на чтение, запись и выполнение для всех пользователей. Один из двоичных файлов инициировал загрузку Люцифера, а другой выполнил вредоносное ПО. На этом этапе решение злоумышленника разделить загрузку и выполнение Lucifer между двумя двоичными файлами, похоже, было попыткой обойти механизмы обнаружения, отметил поставщик безопасности.

Как избежать адской кибератаки на большие данные Apache

В преддверии потенциальной волны атак на экземпляры Apache предприятиям следует проверить свои следы на предмет распространенных неправильных конфигураций и убедиться, что все исправления обновлены.

Кроме того, исследователи отметили, что «неизвестные угрозы могут быть выявлены путем сканирования вашей среды с помощью решений для обнаружения и реагирования во время выполнения, которые могут обнаруживать исключительное поведение и предупреждать о нем», и что «важно быть осторожным и знать о существующих угрозах, пока использование библиотек с открытым исходным кодом. Каждую библиотеку и код следует загружать у проверенного дистрибьютора».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers