“Lucifer”僵尸网络加剧了 Apache Hadoop 服务器的热度

由柏拉图重新发布

关注： 0

“Lucifer”僵尸网络加剧了 Apache Hadoop 服务器 PlatoBlockchain 数据智能的热度。垂直搜索。人工智能。

威胁行为者正在针对运行 Apache Hadoop 和 Apache Druid 大数据技术以及新版本 Lucifer 僵尸网络的组织，Lucifer 僵尸网络是一种已知的恶意软件工具，结合了加密劫持和分布式拒绝服务 (DDoS) 功能。

该活动是僵尸网络的一次突破，Aqua Nautilus 本周的一项分析表明，其运营商正在测试新的感染例程，作为更广泛活动的前奏。

Lucifer 是一种自我传播的恶意软件，Palo Alto Networks 的研究人员于 2020 年 XNUMX 月首次报告。当时，该公司描述了威胁为危险的混合恶意软件攻击者可以利用它来发起 DDoS 攻击，或者丢弃 XMRig 以挖掘门罗币加密货币。帕洛阿尔托说有观察到攻击者也使用 Lucifer 放弃国家安全局的泄露《永恒之蓝》、《永恒的浪漫》和《DoublePulsar》目标系统上的恶意软件和漏洞利用。

Palo Alto 当时警告说：“Lucifer 是加密劫持和 DDoS 恶意软件变体的新混合体，它利用旧漏洞在 Windows 平台上传播和执行恶意活动。”

现在，它又回来了，并瞄准 Apache 服务器。 Aqua Nautilus 的研究人员一直在监测该活动本周在博客中说仅在上个月，他们就统计了超过 3,000 起针对该公司 Apache Hadoop、Apache Druid 和 Apache Flink 蜜罐的独特攻击。

路西法的 3 个独特攻击阶段

该活动已经持续了至少六个月，在此期间，攻击者一直试图利用开源平台中已知的错误配置和漏洞来传递其有效负载。

到目前为止，该活动由三个不同的阶段组成，研究人员表示，这可能表明对手正在全面攻击之前测试防御规避技术。

Aqua Nautilus 安全数据分析师 Nitzan Yaakov 表示：“该活动于 7 月份开始针对我们的蜜罐。” “在我们的调查过程中，我们观察到攻击者更新技术和方法来实现攻击的主要目标——挖掘加密货币。”

在新活动的第一阶段，Aqua 研究人员观察到攻击者扫描互联网以查找配置错误的 Hadoop 实例。当他们在 Aqua 蜜罐上检测到配置错误的 Hadoop YARN（Yet Another Resource Negotiator）集群资源管理和作业调度程序技术时，他们针对该实例进行漏洞利用活动。 Aqua 蜜罐上配置错误的实例与 Hadoop YARN 的资源管理器有关，并为攻击者提供了一种通过特制 HTTP 请求在其上执行任意代码的方法。

攻击者利用错误配置下载 Lucifer，执行它并将其存储到 Hadoop YARN 实例的本地目录。然后，他们确保恶意软件按计划执行，以确保持久性。 Aqua 还观察到攻击者从最初保存二进制文件的路径中删除了该二进制文件，以试图逃避检测。

在攻击的第二阶段，威胁行为者再次瞄准 Hadoop 大数据堆栈中的错误配置，试图获得初始访问权限。然而，这一次，攻击者没有删除单个二进制文件，而是在受感染的系统上删除了两个二进制文件——一个执行了 Lucifer，另一个显然没有执行任何操作。

在第三阶段，攻击者改变策略，不再针对配置错误的 Apache Hadoop 实例，而是开始寻找易受攻击的 Apache Druid 主机。 Aqua 蜜罐上的 Apache Druid 服务版本未打补丁 CVE-2021-25646，某些版本的高性能分析数据库中的命令注入漏洞。该漏洞为经过身份验证的攻击者提供了一种在受影响的系统上执行用户定义的 JavaScript 代码的方法。

Aqua 表示，攻击者利用该缺陷注入了一个命令，用于下载两个二进制文件，并为所有用户提供读、写和执行权限。其中一个二进制文件启动了 Lucifer 的下载，而另一个则执行了恶意软件。安全供应商指出，在此阶段，攻击者决定将 Lucifer 的下载和执行拆分为两个二进制文件，这似乎是试图绕过检测机制。