บอตเน็ต 'ลูซิเฟอร์' สร้างความร้อนแรงบนเซิร์ฟเวอร์ Apache Hadoop

ผู้ก่อภัยคุกคามกำลังกำหนดเป้าหมายองค์กรที่ใช้เทคโนโลยี Big Data ของ Apache Hadoop และ Apache Druid ด้วยบอตเน็ต LUCIFER เวอร์ชันใหม่ ซึ่งเป็นเครื่องมือมัลแวร์ที่รู้จักกันดีที่รวมเอาความสามารถในการเข้ารหัสลับและการปฏิเสธการบริการแบบกระจาย (DDoS) เข้าด้วยกัน

แคมเปญนี้เป็นการออกจากบ็อตเน็ต และการวิเคราะห์ในสัปดาห์นี้จาก Aqua Nautilus ชี้ให้เห็นว่าผู้ดำเนินการกำลังทดสอบกิจวัตรการติดเชื้อใหม่ในฐานะปูชนียบุคคลของแคมเปญที่กว้างขึ้น

ลูซิเฟอร์เป็นมัลแวร์ที่แพร่กระจายตัวเองซึ่งนักวิจัยที่ Palo Alto Networks รายงานครั้งแรกในเดือนพฤษภาคม 2020 ในขณะนั้น บริษัทได้อธิบายเกี่ยวกับ ภัยคุกคามที่เป็นมัลแวร์ไฮบริดที่เป็นอันตราย ที่ผู้โจมตีสามารถใช้เพื่อเปิดใช้งานการโจมตี DDoS หรือเพื่อทิ้ง XMRig เพื่อขุด Monero cryptocurrency พาโลอัลโตบอกว่ามี สังเกตเห็นผู้โจมตีใช้ลูซิเฟอร์ด้วย เพื่อปล่อยข้อมูลรั่วไหลของ NSA EternalBlue, EternalRomance และ DoublePulsar มัลแวร์และการหาประโยชน์บนระบบเป้าหมาย

“ลูซิเฟอร์เป็นลูกผสมใหม่ของการเข้ารหัสลับและมัลแวร์ DDoS ที่ใช้ประโยชน์จากช่องโหว่เก่าเพื่อแพร่กระจายและดำเนินกิจกรรมที่เป็นอันตรายบนแพลตฟอร์ม Windows” ปาโล อัลโตเตือนในขณะนั้น

ตอนนี้กลับมากำหนดเป้าหมายเซิร์ฟเวอร์ Apache แล้ว นักวิจัยจาก Aqua Nautilus ที่ติดตามการรณรงค์นี้ กล่าวในบล็อกในสัปดาห์นี้ พวกเขานับการโจมตีที่ไม่ซ้ำกันมากกว่า 3,000 ครั้งโดยกำหนดเป้าหมายไปที่ honeypots Apache Hadoop, Apache Druid และ Apache Flink ของบริษัทในเดือนที่ผ่านมาเพียงเดือนเดียว

3 ระยะการโจมตีเฉพาะของลูซิเฟอร์

แคมเปญดังกล่าวดำเนินไปเป็นเวลาอย่างน้อยหกเดือน ในระหว่างนั้นผู้โจมตีพยายามใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ในแพลตฟอร์มโอเพ่นซอร์สเพื่อส่งมอบเพย์โหลด

จนถึงขณะนี้ การรณรงค์ครั้งนี้ประกอบด้วยสามระยะที่แตกต่างกัน ซึ่งนักวิจัยกล่าวว่าน่าจะเป็นข้อบ่งชี้ว่าฝ่ายตรงข้ามกำลังทดสอบเทคนิคการหลบเลี่ยงการป้องกันก่อนการโจมตีเต็มรูปแบบ

“แคมเปญเริ่มกำหนดเป้าหมายไปที่น้ำผึ้งของเราในเดือนกรกฎาคม” Nitzan Yaakov นักวิเคราะห์ข้อมูลความปลอดภัยที่ Aqua Nautilus กล่าว “ในระหว่างการสืบสวนของเรา เราสังเกตเห็นผู้โจมตีอัปเดตเทคนิคและวิธีการเพื่อให้บรรลุเป้าหมายหลักของการโจมตี นั่นคือการขุด cryptocurrency”

ในช่วงแรกของแคมเปญใหม่ นักวิจัยของ Aqua สังเกตเห็นผู้โจมตีสแกนอินเทอร์เน็ตเพื่อค้นหาอินสแตนซ์ Hadoop ที่กำหนดค่าไม่ถูกต้อง เมื่อพวกเขาตรวจพบการจัดการทรัพยากรคลัสเตอร์ Hadoop YARN (Yet Another Resource Negotiator) ที่กำหนดค่าไม่ถูกต้องและเทคโนโลยีตัวกำหนดเวลางานบน honeypot ของ Aqua พวกเขากำหนดเป้าหมายอินสแตนซ์นั้นสำหรับกิจกรรมการหาประโยชน์ อินสแตนซ์ที่กำหนดค่าไม่ถูกต้องบน honeypot ของ Aqua นั้นเกี่ยวข้องกับตัวจัดการทรัพยากรของ Hadoop YARN และให้ผู้โจมตีมีวิธีในการรันโค้ดบนตัวมันเองผ่านคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ

ผู้โจมตีใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องเพื่อดาวน์โหลด LUCIFER ดำเนินการและจัดเก็บไว้ในไดเร็กทอรีในเครื่องของอินสแตนซ์ Hadoop YARN จากนั้นพวกเขาตรวจสอบให้แน่ใจว่ามัลแวร์ถูกดำเนินการตามกำหนดเวลาเพื่อให้แน่ใจว่ามีความคงอยู่ Aqua ยังสังเกตเห็นว่าผู้โจมตีลบไบนารีออกจากเส้นทางที่บันทึกไว้ในตอนแรกเพื่อพยายามหลบเลี่ยงการตรวจจับ

ในระยะที่สองของการโจมตี ผู้คุกคามมุ่งเป้าไปที่การกำหนดค่าที่ไม่ถูกต้องในสแต็กข้อมูลขนาดใหญ่ของ Hadoop อีกครั้งเพื่อพยายามเข้าถึงเบื้องต้น อย่างไรก็ตาม ในครั้งนี้ แทนที่จะทิ้งไบนารี่เดียว ผู้โจมตีทิ้งสองอันในระบบที่ถูกบุกรุก โดยอันหนึ่งประหารลูซิเฟอร์ และอีกอันดูเหมือนจะไม่ได้ทำอะไรเลย

ในระยะที่สาม ผู้โจมตีเปลี่ยนกลยุทธ์และแทนที่จะกำหนดเป้าหมายไปที่อินสแตนซ์ Apache Hadoop ที่กำหนดค่าไม่ถูกต้อง กลับเริ่มมองหาโฮสต์ Apache Druid ที่มีช่องโหว่แทน บริการ Apache Druid เวอร์ชันของ Aqua บน honeypot ไม่ได้รับการแพตช์ CVE-2021-25646ซึ่งเป็นช่องโหว่ของการแทรกคำสั่งในฐานข้อมูลการวิเคราะห์ประสิทธิภาพสูงบางเวอร์ชัน ช่องโหว่นี้ทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ด JavaScript ที่ผู้ใช้กำหนดบนระบบที่ได้รับผลกระทบ

ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องดังกล่าวเพื่อสั่งการเพื่อดาวน์โหลดไบนารี่ 2 ตัวและเปิดใช้งานสิทธิ์ในการอ่าน เขียน และดำเนินการสำหรับผู้ใช้ทุกคน Aqua กล่าว ไบนารีตัวหนึ่งเริ่มต้นการดาวน์โหลด LUCIFER ในขณะที่อีกตัวดำเนินการมัลแวร์ ในระยะนี้ การตัดสินใจของผู้โจมตีที่จะแยกการดาวน์โหลดและการดำเนินการของ LUCIFER ระหว่างไฟล์ไบนารี่สองไฟล์ ดูเหมือนจะเป็นความพยายามที่จะเลี่ยงผ่านกลไกการตรวจจับ ผู้จำหน่ายด้านความปลอดภัยระบุ

วิธีหลีกเลี่ยงการโจมตีทางไซเบอร์ที่ชั่วร้ายบน Apache Big Data

ก่อนการโจมตีอินสแตนซ์ Apache ที่อาจเกิดขึ้นในอนาคต องค์กรต่างๆ ควรตรวจสอบรอยเท้าของตนเพื่อหาการกำหนดค่าที่ไม่ถูกต้องทั่วไป และให้แน่ใจว่าการแพตช์ทั้งหมดเป็นข้อมูลล่าสุด

นอกเหนือจากนั้น นักวิจัยตั้งข้อสังเกตว่า “ภัยคุกคามที่ไม่รู้จักสามารถระบุได้โดยการสแกนสภาพแวดล้อมของคุณด้วยโซลูชันการตรวจจับและการตอบสนองรันไทม์ ซึ่งสามารถตรวจจับพฤติกรรมที่โดดเด่นและแจ้งเตือนเกี่ยวกับมันได้” และ “สิ่งสำคัญคือต้องระมัดระวังและตระหนักถึงภัยคุกคามที่มีอยู่ในขณะที่ การใช้ไลบรารีโอเพ่นซอร์ส ควรดาวน์โหลดไลบรารีและโค้ดทั้งหมดจากผู้จัดจำหน่ายที่ได้รับการยืนยัน”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers