Зловмисник націлений на організації, які використовують технології великих даних Apache Hadoop і Apache Druid, за допомогою нової версії ботнету Lucifer, відомого інструменту зловмисного програмного забезпечення, який поєднує в собі можливості криптозлому та розподіленої відмови в обслуговуванні (DDoS).
Ця кампанія є відходом від ботнету, і аналіз цього тижня, проведений Aqua Nautilus, показує, що його оператори тестують нові процедури зараження як попередника ширшої кампанії.
Lucifer — це зловмисне програмне забезпечення, яке саморозповсюджується, про що дослідники Palo Alto Networks вперше повідомили в травні 2020 року. Тоді компанія описала загроза як небезпечне гібридне шкідливе програмне забезпечення які зловмисники можуть використовувати для активації DDoS-атак або для видалення XMRig для майнінгу криптовалюти Monero. Пало-Альто сказав, що так помічено, що нападники також використовують Lucifer щоб відмовитися від витоку АНБ EternalBlue, EternalRomance і DoublePulsar зловмисне програмне забезпечення та експлойти на цільових системах.
«Lucifer — це новий гібрид шифрування та DDoS-версії зловмисного ПЗ, який використовує старі вразливості для поширення та виконання зловмисних дій на платформах Windows», — попереджав тоді Пало Альто.
Тепер він повернувся і націлений на сервери Apache. Дослідники з Aqua Nautilus, які спостерігали за кампанією сказав у блозі цього тижня лише за останній місяць вони нарахували понад 3,000 унікальних атак, спрямованих на приманки компанії Apache Hadoop, Apache Druid і Apache Flink.
3 унікальні фази атаки Люцифера
Кампанія триває щонайменше шість місяців, і протягом цього часу зловмисники намагалися використати відомі неправильні конфігурації та вразливості на платформах з відкритим кодом для доставки свого корисного навантаження.
Поки що кампанія складалася з трьох окремих фаз, що, на думку дослідників, ймовірно свідчить про те, що супротивник перевіряє методи ухилення від захисту перед повномасштабною атакою.
«Кампанія почалася націленою на наші медовики в липні, — каже Ніцан Яков, аналітик даних безпеки в Aqua Nautilus. «Під час нашого розслідування ми спостерігали, як зловмисник оновлював техніки та методи для досягнення основної мети атаки — майнінгу криптовалюти».
Під час першого етапу нової кампанії дослідники Aqua спостерігали, як зловмисники сканують Інтернет на наявність неправильно налаштованих екземплярів Hadoop. Коли вони виявили неправильно налаштовану технологію керування ресурсами кластера Hadoop YARN (Yet Another Resource Negotiator) і технологію планувальника завдань на приманці Aqua, вони націлилися на цей екземпляр для експлойтів. Неправильно налаштований екземпляр у honeypot Aqua був пов’язаний з менеджером ресурсів Hadoop YARN і дав зловмисникам можливість виконати на ньому довільний код за допомогою спеціально створеного HTTP-запиту.
Зловмисники використали неправильну конфігурацію, щоб завантажити Lucifer, виконати його та зберегти в локальному каталозі примірника Hadoop YARN. Потім вони переконалися, що зловмисне програмне забезпечення виконується за розкладом, щоб забезпечити стійкість. Aqua також спостерігала, як зловмисник видаляє двійковий файл зі шляху, де він був спочатку збережений, щоб спробувати уникнути виявлення.
На другому етапі атак зловмисники знову націлилися на неправильні конфігурації в стеку великих даних Hadoop, щоб спробувати отримати початковий доступ. Цього разу, однак, замість того, щоб скинути один двійковий файл, зловмисники скинули два на скомпрометовану систему: один, який стратив Люцифера, і інший, який, очевидно, нічого не зробив.
На третьому етапі зловмисник змінив тактику і замість того, щоб націлитися на неправильно налаштовані екземпляри Apache Hadoop, почав шукати вразливі хости Apache Druid. Версія служби Apache Druid від Aqua на її honeypot не була виправлена CVE-2021-25646, уразливість впровадження команд у певні версії високопродуктивної аналітичної бази даних. Уразливість дає автентифікованим зловмисникам можливість виконувати визначений користувачем код JavaScript на уражених системах.
Зловмисник скористався недоліком, щоб ввести команду для завантаження двох двійкових файлів і надання їм дозволів на читання, запис і виконання для всіх користувачів, сказав Aqua. Один із бінарних файлів ініціював завантаження Lucifer, а інший запустив зловмисне програмне забезпечення. На цьому етапі рішення зловмисника розділити завантаження та виконання Lucifer між двома бінарними файлами, здається, було спробою обійти механізми виявлення, зазначив постачальник безпеки.
Як уникнути пекельної кібератаки на Apache Big Data
Напередодні потенційної майбутньої хвилі атак на екземпляри Apache підприємствам слід перевірити свої сліди на наявність поширених неправильних конфігурацій і переконатися, що всі виправлення актуальні.
Крім того, дослідники зазначили, що «невідомі загрози можна виявити, скануючи ваше середовище за допомогою рішень для виявлення та реагування під час виконання, які можуть виявляти виняткову поведінку та сповіщати про неї», і що «важливо бути обережним і знати про існуючі загрози під час використання бібліотек з відкритим кодом. Кожну бібліотеку та код слід завантажувати від перевіреного дистриб’ютора».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
- : має
- :є
- :де
- $UP
- 000
- 2020
- 7
- a
- МЕНЮ
- про це
- доступ
- Achieve
- діяльності
- діяльність
- актори
- постраждалих
- знову
- проти
- Оповіщення
- ВСІ
- тільки
- Також
- an
- аналіз
- аналітик
- аналітика
- та
- Інший
- Apache
- з'являється
- вода
- довільний
- ЕСТЬ
- AS
- At
- атака
- нападаючий
- нападки
- спроба
- спроба
- автентифіковано
- уникнути
- знати
- назад
- основа
- BE
- було
- перед тим
- почалася
- поведінка
- між
- Великий
- Великий даних
- Блог
- ботнет
- ширше
- by
- обходити
- Кампанія
- CAN
- можливості
- обережний
- певний
- кластер
- код
- комбінати
- майбутній
- загальний
- компанія
- У складі
- Компрометація
- може
- створений
- криптовалюта
- Cryptojacking
- Кібератака
- Небезпечний
- дані
- Database
- DDoS
- рішення
- оборони
- доставляти
- Відмова в обслуговуванні
- від'їзд
- описаний
- виявляти
- виявлено
- Виявлення
- DID
- каталог
- чіткий
- розподілений
- дистриб'ютор
- do
- скачати
- Завантаження
- Падіння
- впав
- Випадання
- друїд
- під час
- включіть
- дозволяє
- забезпечувати
- забезпечується
- підприємств
- середовищах
- Втеча
- ухилення
- Кожен
- винятковий
- виконувати
- виконано
- виконання
- існуючий
- Експлуатувати
- експлуатований
- подвигів
- далеко
- Файли
- Перший
- недолік
- для
- від
- повномасштабний
- Отримувати
- дав
- дає
- мета
- було
- Мати
- висока продуктивність
- хостів
- Як
- How To
- Однак
- HTTP
- HTTPS
- гібрид
- ідентифікований
- важливо
- in
- індикація
- початковий
- спочатку
- розпочатий
- вводити
- екземпляр
- замість
- інтернет
- дослідження
- IT
- ЙОГО
- JavaScript
- робота
- JPG
- липень
- просто
- відомий
- останній
- найменш
- важелі
- libraries
- бібліотека
- Ймовірно
- місцевий
- шукати
- головний
- malicious
- шкідливих програм
- управління
- менеджер
- Може..
- механізми
- методика
- Mining
- Monero
- моніторинг
- місяць
- місяців
- більше
- мереж
- Нові
- nist
- зазначив,
- нічого
- NSA
- of
- Старий
- on
- один раз
- ONE
- постійний
- відкрити
- з відкритим вихідним кодом
- Оператори
- or
- організації
- Інше
- наші
- Пало-Альто
- Виправлення
- шлях
- Виконувати
- Дозволи
- наполегливість
- фаза
- фаз
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- потенціал
- попередник
- Читати
- Повідомляється
- запросити
- Дослідники
- ресурс
- відповідь
- огляд
- біг
- час виконання
- s
- Зазначений
- зберігаються
- говорить
- сканування
- плановий
- другий
- безпеку
- Сервери
- обслуговування
- Повинен
- один
- SIX
- Шість місяців
- So
- так далеко
- Рішення
- Source
- спеціально
- розкол
- Рекламні
- поширення
- стек
- Стажування
- зберігати
- Запропонує
- переключено
- система
- Systems
- тактика
- Мета
- цільове
- націлювання
- методи
- Технології
- Технологія
- Тестування
- ніж
- Що
- Команда
- їх
- Їх
- потім
- вони
- третій
- це
- На цьому тижні
- загроза
- актори загроз
- загрози
- три
- час
- до
- інструмент
- намагатися
- повороти
- два
- створеного
- невідомий
- відповідний сучасним вимогам
- оновлення
- використання
- користувачі
- використання
- варіант
- продавець
- перевірено
- версія
- версії
- через
- Уразливості
- вразливість
- Вразливий
- попередили
- було
- хвиля
- шлях..
- we
- week
- коли
- який
- в той час як
- ВООЗ
- windows
- з
- запис
- ще
- вашу
- зефірнет