ผู้ก่อภัยคุกคามกำลังกำหนดเป้าหมายองค์กรที่ใช้เทคโนโลยี Big Data ของ Apache Hadoop และ Apache Druid ด้วยบอตเน็ต LUCIFER เวอร์ชันใหม่ ซึ่งเป็นเครื่องมือมัลแวร์ที่รู้จักกันดีที่รวมเอาความสามารถในการเข้ารหัสลับและการปฏิเสธการบริการแบบกระจาย (DDoS) เข้าด้วยกัน
แคมเปญนี้เป็นการออกจากบ็อตเน็ต และการวิเคราะห์ในสัปดาห์นี้จาก Aqua Nautilus ชี้ให้เห็นว่าผู้ดำเนินการกำลังทดสอบกิจวัตรการติดเชื้อใหม่ในฐานะปูชนียบุคคลของแคมเปญที่กว้างขึ้น
ลูซิเฟอร์เป็นมัลแวร์ที่แพร่กระจายตัวเองซึ่งนักวิจัยที่ Palo Alto Networks รายงานครั้งแรกในเดือนพฤษภาคม 2020 ในขณะนั้น บริษัทได้อธิบายเกี่ยวกับ ภัยคุกคามที่เป็นมัลแวร์ไฮบริดที่เป็นอันตราย ที่ผู้โจมตีสามารถใช้เพื่อเปิดใช้งานการโจมตี DDoS หรือเพื่อทิ้ง XMRig เพื่อขุด Monero cryptocurrency พาโลอัลโตบอกว่ามี สังเกตเห็นผู้โจมตีใช้ลูซิเฟอร์ด้วย เพื่อปล่อยข้อมูลรั่วไหลของ NSA EternalBlue, EternalRomance และ DoublePulsar มัลแวร์และการหาประโยชน์บนระบบเป้าหมาย
“ลูซิเฟอร์เป็นลูกผสมใหม่ของการเข้ารหัสลับและมัลแวร์ DDoS ที่ใช้ประโยชน์จากช่องโหว่เก่าเพื่อแพร่กระจายและดำเนินกิจกรรมที่เป็นอันตรายบนแพลตฟอร์ม Windows” ปาโล อัลโตเตือนในขณะนั้น
ตอนนี้กลับมากำหนดเป้าหมายเซิร์ฟเวอร์ Apache แล้ว นักวิจัยจาก Aqua Nautilus ที่ติดตามการรณรงค์นี้ กล่าวในบล็อกในสัปดาห์นี้ พวกเขานับการโจมตีที่ไม่ซ้ำกันมากกว่า 3,000 ครั้งโดยกำหนดเป้าหมายไปที่ honeypots Apache Hadoop, Apache Druid และ Apache Flink ของบริษัทในเดือนที่ผ่านมาเพียงเดือนเดียว
3 ระยะการโจมตีเฉพาะของลูซิเฟอร์
แคมเปญดังกล่าวดำเนินไปเป็นเวลาอย่างน้อยหกเดือน ในระหว่างนั้นผู้โจมตีพยายามใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องและช่องโหว่ในแพลตฟอร์มโอเพ่นซอร์สเพื่อส่งมอบเพย์โหลด
จนถึงขณะนี้ การรณรงค์ครั้งนี้ประกอบด้วยสามระยะที่แตกต่างกัน ซึ่งนักวิจัยกล่าวว่าน่าจะเป็นข้อบ่งชี้ว่าฝ่ายตรงข้ามกำลังทดสอบเทคนิคการหลบเลี่ยงการป้องกันก่อนการโจมตีเต็มรูปแบบ
“แคมเปญเริ่มกำหนดเป้าหมายไปที่น้ำผึ้งของเราในเดือนกรกฎาคม” Nitzan Yaakov นักวิเคราะห์ข้อมูลความปลอดภัยที่ Aqua Nautilus กล่าว “ในระหว่างการสืบสวนของเรา เราสังเกตเห็นผู้โจมตีอัปเดตเทคนิคและวิธีการเพื่อให้บรรลุเป้าหมายหลักของการโจมตี นั่นคือการขุด cryptocurrency”
ในช่วงแรกของแคมเปญใหม่ นักวิจัยของ Aqua สังเกตเห็นผู้โจมตีสแกนอินเทอร์เน็ตเพื่อค้นหาอินสแตนซ์ Hadoop ที่กำหนดค่าไม่ถูกต้อง เมื่อพวกเขาตรวจพบการจัดการทรัพยากรคลัสเตอร์ Hadoop YARN (Yet Another Resource Negotiator) ที่กำหนดค่าไม่ถูกต้องและเทคโนโลยีตัวกำหนดเวลางานบน honeypot ของ Aqua พวกเขากำหนดเป้าหมายอินสแตนซ์นั้นสำหรับกิจกรรมการหาประโยชน์ อินสแตนซ์ที่กำหนดค่าไม่ถูกต้องบน honeypot ของ Aqua นั้นเกี่ยวข้องกับตัวจัดการทรัพยากรของ Hadoop YARN และให้ผู้โจมตีมีวิธีในการรันโค้ดบนตัวมันเองผ่านคำขอ HTTP ที่สร้างขึ้นเป็นพิเศษ
ผู้โจมตีใช้ประโยชน์จากการกำหนดค่าที่ไม่ถูกต้องเพื่อดาวน์โหลด LUCIFER ดำเนินการและจัดเก็บไว้ในไดเร็กทอรีในเครื่องของอินสแตนซ์ Hadoop YARN จากนั้นพวกเขาตรวจสอบให้แน่ใจว่ามัลแวร์ถูกดำเนินการตามกำหนดเวลาเพื่อให้แน่ใจว่ามีความคงอยู่ Aqua ยังสังเกตเห็นว่าผู้โจมตีลบไบนารีออกจากเส้นทางที่บันทึกไว้ในตอนแรกเพื่อพยายามหลบเลี่ยงการตรวจจับ
ในระยะที่สองของการโจมตี ผู้คุกคามมุ่งเป้าไปที่การกำหนดค่าที่ไม่ถูกต้องในสแต็กข้อมูลขนาดใหญ่ของ Hadoop อีกครั้งเพื่อพยายามเข้าถึงเบื้องต้น อย่างไรก็ตาม ในครั้งนี้ แทนที่จะทิ้งไบนารี่เดียว ผู้โจมตีทิ้งสองอันในระบบที่ถูกบุกรุก โดยอันหนึ่งประหารลูซิเฟอร์ และอีกอันดูเหมือนจะไม่ได้ทำอะไรเลย
ในระยะที่สาม ผู้โจมตีเปลี่ยนกลยุทธ์และแทนที่จะกำหนดเป้าหมายไปที่อินสแตนซ์ Apache Hadoop ที่กำหนดค่าไม่ถูกต้อง กลับเริ่มมองหาโฮสต์ Apache Druid ที่มีช่องโหว่แทน บริการ Apache Druid เวอร์ชันของ Aqua บน honeypot ไม่ได้รับการแพตช์ CVE-2021-25646ซึ่งเป็นช่องโหว่ของการแทรกคำสั่งในฐานข้อมูลการวิเคราะห์ประสิทธิภาพสูงบางเวอร์ชัน ช่องโหว่นี้ทำให้ผู้โจมตีที่ได้รับการตรวจสอบสิทธิ์สามารถรันโค้ด JavaScript ที่ผู้ใช้กำหนดบนระบบที่ได้รับผลกระทบ
ผู้โจมตีใช้ประโยชน์จากข้อบกพร่องดังกล่าวเพื่อสั่งการเพื่อดาวน์โหลดไบนารี่ 2 ตัวและเปิดใช้งานสิทธิ์ในการอ่าน เขียน และดำเนินการสำหรับผู้ใช้ทุกคน Aqua กล่าว ไบนารีตัวหนึ่งเริ่มต้นการดาวน์โหลด LUCIFER ในขณะที่อีกตัวดำเนินการมัลแวร์ ในระยะนี้ การตัดสินใจของผู้โจมตีที่จะแยกการดาวน์โหลดและการดำเนินการของ LUCIFER ระหว่างไฟล์ไบนารี่สองไฟล์ ดูเหมือนจะเป็นความพยายามที่จะเลี่ยงผ่านกลไกการตรวจจับ ผู้จำหน่ายด้านความปลอดภัยระบุ
วิธีหลีกเลี่ยงการโจมตีทางไซเบอร์ที่ชั่วร้ายบน Apache Big Data
ก่อนการโจมตีอินสแตนซ์ Apache ที่อาจเกิดขึ้นในอนาคต องค์กรต่างๆ ควรตรวจสอบรอยเท้าของตนเพื่อหาการกำหนดค่าที่ไม่ถูกต้องทั่วไป และให้แน่ใจว่าการแพตช์ทั้งหมดเป็นข้อมูลล่าสุด
นอกเหนือจากนั้น นักวิจัยตั้งข้อสังเกตว่า “ภัยคุกคามที่ไม่รู้จักสามารถระบุได้โดยการสแกนสภาพแวดล้อมของคุณด้วยโซลูชันการตรวจจับและการตอบสนองรันไทม์ ซึ่งสามารถตรวจจับพฤติกรรมที่โดดเด่นและแจ้งเตือนเกี่ยวกับมันได้” และ “สิ่งสำคัญคือต้องระมัดระวังและตระหนักถึงภัยคุกคามที่มีอยู่ในขณะที่ การใช้ไลบรารีโอเพ่นซอร์ส ควรดาวน์โหลดไลบรารีและโค้ดทั้งหมดจากผู้จัดจำหน่ายที่ได้รับการยืนยัน”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
- :มี
- :เป็น
- :ที่ไหน
- $ ขึ้น
- 000
- 2020
- 7
- a
- เกี่ยวกับเรา
- เกี่ยวกับมัน
- เข้า
- บรรลุ
- กิจกรรม
- อยากทำกิจกรรม
- นักแสดง
- ได้รับผล
- อีกครั้ง
- กับ
- เตือนภัย
- ทั้งหมด
- คนเดียว
- ด้วย
- an
- การวิเคราะห์
- นักวิเคราะห์
- การวิเคราะห์
- และ
- อื่น
- อาปาเช่
- ปรากฏ
- น้ำ
- โดยพลการ
- เป็น
- AS
- At
- โจมตี
- โจมตี
- การโจมตี
- ความพยายาม
- พยายาม
- รับรองความถูกต้อง
- หลีกเลี่ยง
- ทราบ
- กลับ
- รากฐาน
- BE
- รับ
- ก่อน
- เริ่ม
- พฤติกรรม
- ระหว่าง
- ใหญ่
- ข้อมูลขนาดใหญ่
- บล็อก
- บ็อตเน็ต
- ที่กว้างขึ้น
- by
- ทางอ้อม
- รณรงค์
- CAN
- ความสามารถในการ
- ระมัดระวัง
- บาง
- Cluster
- รหัส
- รวม
- มา
- ร่วมกัน
- บริษัท
- ประกอบด้วย
- ที่ถูกบุกรุก
- ได้
- ที่สร้างขึ้น
- cryptocurrency
- Cryptojacking
- cyberattack
- Dangerous
- ข้อมูล
- ฐานข้อมูล
- DDoS
- การตัดสินใจ
- ป้องกัน
- ส่งมอบ
- Denial of Service
- การออกเดินทาง
- อธิบาย
- ตรวจจับ
- ตรวจพบ
- การตรวจพบ
- DID
- ไดเรกทอรี
- แตกต่าง
- กระจาย
- ผู้จัดจำหน่าย
- do
- ดาวน์โหลด
- ดาวน์โหลด
- หล่น
- ปรับตัวลดลง
- ลดลง
- ดรูอิด
- ในระหว่าง
- ทำให้สามารถ
- การเปิดใช้งาน
- ทำให้มั่นใจ
- มั่นใจ
- ผู้ประกอบการ
- สภาพแวดล้อม
- หลบเลี่ยง
- การหลีกเลี่ยง
- ทุกๆ
- เป็นพิเศษ
- ดำเนินการ
- ดำเนินการ
- การปฏิบัติ
- ที่มีอยู่
- เอาเปรียบ
- ใช้ประโยชน์
- การหาประโยชน์
- ไกล
- ไฟล์
- ชื่อจริง
- ข้อบกพร่อง
- สำหรับ
- ราคาเริ่มต้นที่
- เต็มรูปแบบ
- ได้รับ
- ให้
- จะช่วยให้
- เป้าหมาย
- มี
- มี
- ประสิทธิภาพสูง
- เจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- ทำอย่างไร
- อย่างไรก็ตาม
- ที่ http
- HTTPS
- เป็นลูกผสม
- ระบุ
- สำคัญ
- in
- การแสดง
- แรกเริ่ม
- ในขั้นต้น
- ที่ริเริ่ม
- ฉีด
- ตัวอย่าง
- แทน
- อินเทอร์เน็ต
- การสอบสวน
- IT
- ITS
- JavaScript
- การสัมภาษณ์
- jpg
- กรกฎาคม
- เพียงแค่
- ที่รู้จักกัน
- ชื่อสกุล
- น้อยที่สุด
- ยกระดับ
- ห้องสมุด
- ห้องสมุด
- น่าจะ
- ในประเทศ
- ที่ต้องการหา
- หลัก
- ที่เป็นอันตราย
- มัลแวร์
- การจัดการ
- ผู้จัดการ
- อาจ..
- กลไก
- วิธีการ
- การทำเหมืองแร่
- Monero
- การตรวจสอบ
- เดือน
- เดือน
- ข้อมูลเพิ่มเติม
- เครือข่าย
- ใหม่
- NIST
- เด่น
- ไม่มีอะไร
- เอ็นเอสเอ
- of
- เก่า
- on
- ครั้งเดียว
- ONE
- ต่อเนื่อง
- เปิด
- โอเพนซอร์ส
- ผู้ประกอบการ
- or
- องค์กร
- อื่นๆ
- ของเรา
- พาโลอัลโต
- ปะ
- เส้นทาง
- ดำเนินการ
- สิทธิ์
- วิริยะ
- ระยะ
- ขั้นตอน
- แพลตฟอร์ม
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- ที่มีศักยภาพ
- ผู้นำ
- อ่าน
- รายงาน
- ขอ
- นักวิจัย
- ทรัพยากร
- คำตอบ
- ทบทวน
- วิ่ง
- รันไทม์
- s
- กล่าวว่า
- ที่บันทึกไว้
- พูดว่า
- การสแกน
- ที่กำหนดไว้
- ที่สอง
- ความปลอดภัย
- เซิร์ฟเวอร์
- บริการ
- น่า
- เดียว
- หก
- หกเดือน
- So
- จนถึงตอนนี้
- โซลูชัน
- แหล่ง
- พิเศษ
- แยก
- ผู้ให้การสนับสนุน
- กระจาย
- กอง
- ระยะ
- จัดเก็บ
- ชี้ให้เห็นถึง
- เปลี่ยน
- ระบบ
- ระบบ
- กลยุทธ์
- เป้า
- เป้าหมาย
- กำหนดเป้าหมาย
- เทคนิค
- เทคโนโลยี
- เทคโนโลยี
- การทดสอบ
- กว่า
- ที่
- พื้นที่
- ของพวกเขา
- พวกเขา
- แล้วก็
- พวกเขา
- ที่สาม
- นี้
- ในสัปดาห์นี้
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- ภัยคุกคาม
- สาม
- เวลา
- ไปยัง
- เครื่องมือ
- ลอง
- ผลัดกัน
- สอง
- เป็นเอกลักษณ์
- ไม่ทราบ
- ทันเหตุการณ์
- การปรับปรุง
- ใช้
- ผู้ใช้
- การใช้
- ตัวแปร
- ผู้ขาย
- การตรวจสอบแล้ว
- รุ่น
- รุ่น
- ผ่านทาง
- ช่องโหว่
- ความอ่อนแอ
- อ่อนแอ
- เตือน
- คือ
- คลื่น
- ทาง..
- we
- สัปดาห์
- เมื่อ
- ที่
- ในขณะที่
- WHO
- หน้าต่าง
- กับ
- เขียน
- ยัง
- ของคุณ
- ลมทะเล