Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

„Lucifer“-Botnetz sorgt für Aufregung auf Apache Hadoop-Servern

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 157

Ein Bedrohungsakteur zielt mit einer neuen Version des Lucifer-Botnets, einem bekannten Malware-Tool, das Cryptojacking- und Distributed-Denial-of-Service-Funktionen (DDoS) kombiniert, auf Organisationen ab, die die Big-Data-Technologien Apache Hadoop und Apache Druid nutzen.

Die Kampagne ist ein Aufbruch für das Botnetz, und eine Analyse von Aqua Nautilus in dieser Woche legt nahe, dass seine Betreiber neue Infektionsroutinen als Vorläufer einer umfassenderen Kampagne testen.

Lucifer ist eine sich selbst verbreitende Malware, über die Forscher von Palo Alto Networks erstmals im Mai 2020 berichteten. Damals beschrieb das Unternehmen die Bedrohung als gefährliche Hybrid-Malware die ein Angreifer nutzen könnte, um DDoS-Angriffe zu ermöglichen oder um XMRig für das Mining der Monero-Kryptowährung abzuwerfen. Palo Alto sagte, das sei der Fall beobachtete, dass Angreifer auch Luzifer nutzten um die NSAs durchgesickert fallen zu lassen EternalBlue, EternalRomance und DoublePulsar Malware und Exploits auf Zielsystemen.

„Lucifer ist eine neue Mischung aus Kryptojacking und DDoS-Malware-Variante, die alte Schwachstellen ausnutzt, um bösartige Aktivitäten auf Windows-Plattformen zu verbreiten und auszuführen“, hatte Palo Alto damals gewarnt.

Jetzt ist es zurück und zielt auf Apache-Server ab. Forscher von Aqua Nautilus, die die Kampagne überwacht haben sagte diese Woche in einem Blog Sie hatten allein im letzten Monat mehr als 3,000 einzelne Angriffe gezählt, die auf die Honeypots Apache Hadoop, Apache Druid und Apache Flink des Unternehmens abzielten.

Luzifers 3 einzigartige Angriffsphasen

Die Kampagne läuft bereits seit mindestens sechs Monaten. Während dieser Zeit haben die Angreifer versucht, bekannte Fehlkonfigurationen und Schwachstellen in den Open-Source-Plattformen auszunutzen, um ihre Nutzlast auszuliefern.

Bisher bestand die Kampagne aus drei unterschiedlichen Phasen, was den Forschern zufolge wahrscheinlich ein Hinweis darauf ist, dass der Gegner vor einem umfassenden Angriff Abwehrtechniken testet.

„Die Kampagne begann im Juli, unsere Honeypots ins Visier zu nehmen“, sagt Nitzan Yaakov, Sicherheitsdatenanalyst bei Aqua Nautilus. „Während unserer Untersuchung haben wir beobachtet, wie der Angreifer Techniken und Methoden aktualisierte, um das Hauptziel des Angriffs – das Schürfen von Kryptowährungen – zu erreichen.“

Während der ersten Phase der neuen Kampagne beobachteten Aqua-Forscher, wie die Angreifer das Internet nach falsch konfigurierten Hadoop-Instanzen durchsuchten. Als sie eine falsch konfigurierte Hadoop YARN (Yet Another Resource Negotiator)-Cluster-Ressourcenverwaltungs- und Job-Scheduler-Technologie im Honeypot von Aqua entdeckten, zielten sie auf diese Instanz für Exploit-Aktivitäten ab. Die falsch konfigurierte Instanz im Honeypot von Aqua hing mit dem Ressourcenmanager von Hadoop YARN zusammen und gab den Angreifern die Möglichkeit, über eine speziell gestaltete HTTP-Anfrage beliebigen Code darauf auszuführen.

Die Angreifer nutzten die Fehlkonfiguration aus, um Lucifer herunterzuladen, auszuführen und im lokalen Verzeichnis der Hadoop YARN-Instanz zu speichern. Anschließend stellten sie sicher, dass die Malware planmäßig ausgeführt wurde, um die Persistenz sicherzustellen. Aqua beobachtete außerdem, wie der Angreifer die Binärdatei aus dem Pfad löschte, in dem sie ursprünglich gespeichert war, um einer Entdeckung zu entgehen.

In der zweiten Angriffsphase zielten die Bedrohungsakteure erneut auf Fehlkonfigurationen im Hadoop-Big-Data-Stack, um sich ersten Zugriff zu verschaffen. Dieses Mal legten die Angreifer jedoch statt einer einzigen Binärdatei zwei auf dem kompromittierten System ab – eine, die Lucifer ausführte, und die andere, die offenbar nichts bewirkte.

In der dritten Phase änderte der Angreifer seine Taktik und begann, statt falsch konfigurierte Apache Hadoop-Instanzen anzugreifen, stattdessen nach angreifbaren Apache Druid-Hosts zu suchen. Aquas Version des Apache Druid-Dienstes auf seinem Honeypot wurde nicht gepatcht CVE-2021-25646, eine Schwachstelle durch Befehlsinjektion in bestimmten Versionen der Hochleistungsanalysedatenbank. Die Sicherheitslücke bietet authentifizierten Angreifern die Möglichkeit, benutzerdefinierten JavaScript-Code auf betroffenen Systemen auszuführen.

Der Angreifer habe die Schwachstelle ausgenutzt, um einen Befehl zum Herunterladen zweier Binärdateien einzuschleusen und diese mit Lese-, Schreib- und Ausführungsberechtigungen für alle Benutzer zu versehen, sagte Aqua. Eine der Binärdateien initiierte den Download von Lucifer, während die andere die Malware ausführte. In dieser Phase scheine die Entscheidung des Angreifers, das Herunterladen und Ausführen von Lucifer auf zwei Binärdateien aufzuteilen, ein Versuch gewesen zu sein, Erkennungsmechanismen zu umgehen, stellte der Sicherheitsanbieter fest.

So vermeiden Sie einen höllischen Cyberangriff auf Apache Big Data

Im Vorfeld einer möglichen Angriffswelle gegen Apache-Instanzen sollten Unternehmen ihre Footprints auf häufige Fehlkonfigurationen überprüfen und sicherstellen, dass alle Patches auf dem neuesten Stand sind.

Darüber hinaus stellten die Forscher fest, dass „unbekannte Bedrohungen identifiziert werden können, indem Sie Ihre Umgebungen mit Laufzeiterkennungs- und Reaktionslösungen scannen, die außergewöhnliches Verhalten erkennen und darüber warnen können“, und dass „es wichtig ist, vorsichtig zu sein und sich der bestehenden Bedrohungen bewusst zu sein.“ Verwendung von Open-Source-Bibliotheken. Jede Bibliothek und jeder Code sollte von einem verifizierten Händler heruntergeladen werden.“

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.