يستهدف أحد عناصر التهديد المؤسسات التي تستخدم تقنيات البيانات الضخمة Apache Hadoop وApache Druid باستخدام إصدار جديد من Lucifer botnet، وهي أداة برامج ضارة معروفة تجمع بين إمكانات التعدين الخفي ورفض الخدمة الموزعة (DDoS).
تمثل هذه الحملة انطلاقة لشبكة الروبوتات، ويشير تحليل أجرته شركة Aqua Nautilus هذا الأسبوع إلى أن مشغليها يختبرون إجراءات إصابة جديدة كمقدمة لحملة أوسع.
إن Lucifer عبارة عن برامج ضارة ذاتية النشر أبلغ عنها الباحثون في Palo Alto Networks لأول مرة في مايو 2020. وفي ذلك الوقت، وصفت الشركة التهديد باعتباره برامج ضارة هجينة خطيرة التي يمكن أن يستخدمها المهاجم لتمكين هجمات DDoS، أو لإسقاط XMRig لتعدين عملة Monero المشفرة. قال بالو ألتو أنه فعل ذلك لاحظ المهاجمون أيضًا أنهم يستخدمون لوسيفر لإسقاط تسريبات وكالة الأمن القومي EternalBlue، EternalRomance، وDoublePulsar البرمجيات الخبيثة والاستغلال على الأنظمة المستهدفة.
حذر بالو ألتو في ذلك الوقت من أن "Lucifer عبارة عن مزيج جديد من برامج التعدين الخفي وبرمجيات DDoS الضارة التي تعمل على الاستفادة من نقاط الضعف القديمة لنشر وتنفيذ أنشطة ضارة على منصات Windows".
لقد عادت الآن لتستهدف خوادم Apache. باحثون من Aqua Nautilus الذين كانوا يراقبون الحملة قال في مدونة هذا الأسبوع لقد أحصوا أكثر من 3,000 هجمة فريدة استهدفت مصائد جذب Apache Hadoop وApache Druid وApache Flink التابعة للشركة في الشهر الماضي فقط.
مراحل هجوم لوسيفر الثلاث الفريدة
استمرت الحملة لمدة ستة أشهر على الأقل، وخلال هذه الفترة كان المهاجمون يحاولون استغلال التكوينات الخاطئة ونقاط الضعف المعروفة في الأنظمة الأساسية مفتوحة المصدر لتوصيل حمولتهم.
وتتكون الحملة حتى الآن من ثلاث مراحل متميزة، والتي قال الباحثون إنها على الأرجح إشارة إلى أن الخصم يختبر تقنيات التهرب الدفاعي قبل هجوم واسع النطاق.
يقول نيتسان ياكوف، محلل البيانات الأمنية في شركة Aqua Nautilus: "بدأت الحملة في استهداف مصائد الجذب لدينا في شهر يوليو". "خلال تحقيقنا، لاحظنا أن المهاجم يقوم بتحديث التقنيات والأساليب لتحقيق الهدف الرئيسي للهجوم، وهو تعدين العملة المشفرة."
خلال المرحلة الأولى من الحملة الجديدة، لاحظ باحثو Aqua المهاجمين يقومون بمسح الإنترنت بحثًا عن مثيلات Hadoop التي تم تكوينها بشكل خاطئ. عندما اكتشفوا وجود خطأ في تكوين Hadoop YARN (مفاوض موارد آخر) لإدارة موارد المجموعة وتقنية جدولة المهام على مصيدة Aqua، استهدفوا هذا المثيل لنشاط الاستغلال. كان للمثيل الذي تم تكوينه بشكل خاطئ على مصيدة Aqua علاقة بمدير موارد Hadoop YARN وأعطى المهاجمين طريقة لتنفيذ تعليمات برمجية عشوائية عليه عبر طلب HTTP معد خصيصًا.
استغل المهاجمون التكوين الخاطئ لتنزيل Lucifer وتنفيذه وتخزينه في الدليل المحلي لمثيل Hadoop YARN. ثم تأكدوا بعد ذلك من تنفيذ البرامج الضارة على أساس مجدول لضمان استمرارها. لاحظت أكوا أيضًا أن المهاجم يقوم بحذف الملف الثنائي من المسار الذي تم حفظه فيه في البداية لمحاولة التهرب من اكتشافه.
في المرحلة الثانية من الهجمات، استهدفت الجهات الفاعلة في مجال التهديد مرة أخرى التكوينات الخاطئة في مكدس البيانات الضخمة Hadoop لمحاولة الوصول الأولي. ومع ذلك، هذه المرة، بدلًا من إسقاط ثنائي واحد، أسقط المهاجمون اثنين على النظام المخترق - أحدهما أعدم لوسيفر والآخر الذي لم يفعل شيئًا على ما يبدو.
في المرحلة الثالثة، غيّر المهاجم تكتيكاته، وبدلاً من استهداف مثيلات Apache Hadoop التي تم تكوينها بشكل خاطئ، بدأ في البحث عن مضيفي Apache Druid الضعفاء بدلاً من ذلك. لم يتم إصلاح نسخة Aqua من خدمة Apache Druid الموجودة في مصيدة الجذب الخاصة بها CVE-2021-25646، ثغرة أمنية في إدخال الأوامر في إصدارات معينة من قاعدة بيانات التحليلات عالية الأداء. توفر الثغرة الأمنية للمهاجمين المعتمدين طريقة لتنفيذ تعليمات JavaScript البرمجية المعرفة من قبل المستخدم على الأنظمة المتأثرة.
وقالت أكوا إن المهاجم استغل الخلل لإدخال أمر لتنزيل ملفين ثنائيين وتمكينهما من أذونات القراءة والكتابة والتنفيذ لجميع المستخدمين. بدأ أحد الثنائيات تنزيل Lucifer، بينما نفذ الآخر البرنامج الضار. في هذه المرحلة، يبدو أن قرار المهاجم بتقسيم تنزيل وتنفيذ Lucifer بين ملفين ثنائيين كان محاولة لتجاوز آليات الكشف، حسبما أشار بائع الأمان.
كيفية تجنب الهجوم السيبراني الجهنمي على بيانات أباتشي الكبيرة
قبل الموجة القادمة المحتملة من الهجمات ضد مثيلات Apache، يجب على المؤسسات مراجعة آثارها بحثًا عن التكوينات الخاطئة الشائعة، والتأكد من تحديث جميع عمليات التصحيح.
علاوة على ذلك، أشار الباحثون إلى أنه "يمكن تحديد التهديدات غير المعروفة عن طريق مسح بيئاتك باستخدام حلول الكشف والاستجابة في وقت التشغيل، والتي يمكنها اكتشاف السلوك الاستثنائي والتنبيه بشأنه"، وأنه "من المهم توخي الحذر والوعي بالتهديدات الحالية أثناء باستخدام المكتبات مفتوحة المصدر. يجب تنزيل كل مكتبة ورمز من موزع معتمد.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
