Ботнет «Lucifer» посилює тепло на серверах Apache Hadoop

Зловмисник націлений на організації, які використовують технології великих даних Apache Hadoop і Apache Druid, за допомогою нової версії ботнету Lucifer, відомого інструменту зловмисного програмного забезпечення, який поєднує в собі можливості криптозлому та розподіленої відмови в обслуговуванні (DDoS).

Ця кампанія є відходом від ботнету, і аналіз цього тижня, проведений Aqua Nautilus, показує, що його оператори тестують нові процедури зараження як попередника ширшої кампанії.

Lucifer — це зловмисне програмне забезпечення, яке саморозповсюджується, про що дослідники Palo Alto Networks вперше повідомили в травні 2020 року. Тоді компанія описала загроза як небезпечне гібридне шкідливе програмне забезпечення які зловмисники можуть використовувати для активації DDoS-атак або для видалення XMRig для майнінгу криптовалюти Monero. Пало-Альто сказав, що так помічено, що нападники також використовують Lucifer щоб відмовитися від витоку АНБ EternalBlue, EternalRomance і DoublePulsar зловмисне програмне забезпечення та експлойти на цільових системах.

«Lucifer — це новий гібрид шифрування та DDoS-версії зловмисного ПЗ, який використовує старі вразливості для поширення та виконання зловмисних дій на платформах Windows», — попереджав тоді Пало Альто.

Тепер він повернувся і націлений на сервери Apache. Дослідники з Aqua Nautilus, які спостерігали за кампанією сказав у блозі цього тижня лише за останній місяць вони нарахували понад 3,000 унікальних атак, спрямованих на приманки компанії Apache Hadoop, Apache Druid і Apache Flink.

3 унікальні фази атаки Люцифера

Кампанія триває щонайменше шість місяців, і протягом цього часу зловмисники намагалися використати відомі неправильні конфігурації та вразливості на платформах з відкритим кодом для доставки свого корисного навантаження.

Поки що кампанія складалася з трьох окремих фаз, що, на думку дослідників, ймовірно свідчить про те, що супротивник перевіряє методи ухилення від захисту перед повномасштабною атакою.

«Кампанія почалася націленою на наші медовики в липні, — каже Ніцан Яков, аналітик даних безпеки в Aqua Nautilus. «Під час нашого розслідування ми спостерігали, як зловмисник оновлював техніки та методи для досягнення основної мети атаки — майнінгу криптовалюти».

Під час першого етапу нової кампанії дослідники Aqua спостерігали, як зловмисники сканують Інтернет на наявність неправильно налаштованих екземплярів Hadoop. Коли вони виявили неправильно налаштовану технологію керування ресурсами кластера Hadoop YARN (Yet Another Resource Negotiator) і технологію планувальника завдань на приманці Aqua, вони націлилися на цей екземпляр для експлойтів. Неправильно налаштований екземпляр у honeypot Aqua був пов’язаний з менеджером ресурсів Hadoop YARN і дав зловмисникам можливість виконати на ньому довільний код за допомогою спеціально створеного HTTP-запиту.

Зловмисники використали неправильну конфігурацію, щоб завантажити Lucifer, виконати його та зберегти в локальному каталозі примірника Hadoop YARN. Потім вони переконалися, що зловмисне програмне забезпечення виконується за розкладом, щоб забезпечити стійкість. Aqua також спостерігала, як зловмисник видаляє двійковий файл зі шляху, де він був спочатку збережений, щоб спробувати уникнути виявлення.

На другому етапі атак зловмисники знову націлилися на неправильні конфігурації в стеку великих даних Hadoop, щоб спробувати отримати початковий доступ. Цього разу, однак, замість того, щоб скинути один двійковий файл, зловмисники скинули два на скомпрометовану систему: один, який стратив Люцифера, і інший, який, очевидно, нічого не зробив.

На третьому етапі зловмисник змінив тактику і замість того, щоб націлитися на неправильно налаштовані екземпляри Apache Hadoop, почав шукати вразливі хости Apache Druid. Версія служби Apache Druid від Aqua на її honeypot не була виправлена CVE-2021-25646, уразливість впровадження команд у певні версії високопродуктивної аналітичної бази даних. Уразливість дає автентифікованим зловмисникам можливість виконувати визначений користувачем код JavaScript на уражених системах.

Зловмисник скористався недоліком, щоб ввести команду для завантаження двох двійкових файлів і надання їм дозволів на читання, запис і виконання для всіх користувачів, сказав Aqua. Один із бінарних файлів ініціював завантаження Lucifer, а інший запустив зловмисне програмне забезпечення. На цьому етапі рішення зловмисника розділити завантаження та виконання Lucifer між двома бінарними файлами, здається, було спробою обійти механізми виявлення, зазначив постачальник безпеки.

Як уникнути пекельної кібератаки на Apache Big Data

Напередодні потенційної майбутньої хвилі атак на екземпляри Apache підприємствам слід перевірити свої сліди на наявність поширених неправильних конфігурацій і переконатися, що всі виправлення актуальні.

Крім того, дослідники зазначили, що «невідомі загрози можна виявити, скануючи ваше середовище за допомогою рішень для виявлення та реагування під час виконання, які можуть виявляти виняткову поведінку та сповіщати про неї», і що «важливо бути обережним і знати про існуючі загрози під час використання бібліотек з відкритим кодом. Кожну бібліотеку та код слід завантажувати від перевіреного дистриб’ютора».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers