Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Le botnet « Lucifer » fait monter la pression sur les serveurs Apache Hadoop

Republié par Platon
Republié par Platon

Date :

Vues: 157

Un acteur malveillant cible les organisations exécutant les technologies Big Data Apache Hadoop et Apache Druid avec une nouvelle version du botnet Lucifer, un outil malveillant connu qui combine des capacités de cryptojacking et de déni de service distribué (DDoS).

Cette campagne marque un tournant pour le botnet, et une analyse réalisée cette semaine par Aqua Nautilus suggère que ses opérateurs testent de nouvelles routines d'infection en prévision d'une campagne plus large.

Lucifer est un malware auto-propagé que les chercheurs de Palo Alto Networks ont signalé pour la première fois en mai 2020. À l'époque, la société décrivait le menace en tant que malware hybride dangereux qu'un attaquant pourrait utiliser pour activer des attaques DDoS ou pour abandonner XMRig pour extraire la crypto-monnaie Monero. Palo Alto a dit que c'était le cas observé des attaquants utilisant également Lucifer laisser tomber les fuites de la NSA EternalBlue, EternalRomance et DoublePulsar les logiciels malveillants et les exploits sur les systèmes cibles.

"Lucifer est un nouvel hybride de cryptojacking et de variante de malware DDoS qui exploite d'anciennes vulnérabilités pour propager et exécuter des activités malveillantes sur les plates-formes Windows", avait alors prévenu Palo Alto.

Maintenant, il est de retour et cible les serveurs Apache. Les chercheurs d'Aqua Nautilus qui ont suivi la campagne dit dans un blog cette semaine ils ont dénombré plus de 3,000 XNUMX attaques uniques ciblant les pots de miel Apache Hadoop, Apache Druid et Apache Flink de l'entreprise au cours du seul mois dernier.

Les 3 phases d'attaque uniques de Lucifer

La campagne dure depuis au moins six mois, période pendant laquelle les attaquants ont tenté d'exploiter les erreurs de configuration et les vulnérabilités connues des plates-formes open source pour livrer leur charge utile.

Jusqu’à présent, la campagne a été composée de trois phases distinctes, ce qui, selon les chercheurs, indique probablement que l’adversaire teste ses techniques d’évasion défensive avant une attaque à grande échelle.

« La campagne a commencé à cibler nos pots de miel en juillet », explique Nitzan Yaakov, analyste des données de sécurité chez Aqua Nautilus. "Au cours de notre enquête, nous avons observé l'attaquant mettre à jour ses techniques et méthodes pour atteindre l'objectif principal de l'attaque : l'extraction de crypto-monnaie."

Au cours de la première étape de la nouvelle campagne, les chercheurs d'Aqua ont observé les attaquants analyser Internet à la recherche d'instances Hadoop mal configurées. Lorsqu'ils ont détecté une technologie de gestion des ressources de cluster et de planification de tâches Hadoop YARN (Yet Another Resource Négociateur) mal configurée sur le pot de miel d'Aqua, ils ont ciblé cette instance pour une activité d'exploitation. L'instance mal configurée sur le pot de miel d'Aqua était liée au gestionnaire de ressources de Hadoop YARN et donnait aux attaquants un moyen d'exécuter du code arbitraire via une requête HTTP spécialement conçue.

Les attaquants ont exploité cette mauvaise configuration pour télécharger Lucifer, l'exécuter et le stocker dans le répertoire local de l'instance Hadoop YARN. Ils ont ensuite veillé à ce que le logiciel malveillant soit exécuté de manière planifiée pour garantir sa persistance. Aqua a également observé que l'attaquant supprimait le binaire du chemin où il avait été initialement enregistré pour tenter d'échapper à la détection.

Au cours de la deuxième phase des attaques, les auteurs de la menace ont une fois de plus ciblé les mauvaises configurations de la pile Big Data Hadoop pour tenter d'obtenir un premier accès. Cette fois, cependant, au lieu de lâcher un seul binaire, les attaquants en ont laissé tomber deux sur le système compromis : l’un qui a exécuté Lucifer et l’autre qui n’a apparemment rien fait.

Au cours de la troisième phase, l'attaquant a changé de tactique et, au lieu de cibler les instances Apache Hadoop mal configurées, a commencé à rechercher des hôtes Apache Druid vulnérables. La version Aqua du service Apache Druid sur son pot de miel n'a pas été corrigée. CVE-2021-25646, une vulnérabilité d'injection de commandes dans certaines versions de la base de données d'analyse hautes performances. La vulnérabilité donne aux attaquants authentifiés un moyen d'exécuter du code JavaScript défini par l'utilisateur sur les systèmes concernés.

L'attaquant a exploité la faille pour injecter une commande permettant de télécharger deux fichiers binaires et de leur accorder des autorisations de lecture, d'écriture et d'exécution pour tous les utilisateurs, a déclaré Aqua. L'un des binaires a lancé le téléchargement de Lucifer, tandis que l'autre a exécuté le malware. Dans cette phase, la décision de l'attaquant de diviser le téléchargement et l'exécution de Lucifer entre deux fichiers binaires semble avoir été une tentative de contourner les mécanismes de détection, a noté le fournisseur de sécurité.

Comment éviter une cyberattaque infernale sur Apache Big Data

En prévision d'une potentielle vague d'attaques contre les instances Apache, les entreprises doivent examiner leurs empreintes pour détecter les erreurs de configuration courantes et s'assurer que tous les correctifs sont à jour.

Au-delà de cela, les chercheurs ont noté que « les menaces inconnues peuvent être identifiées en analysant vos environnements avec des solutions de détection et de réponse à l'exécution, qui peuvent détecter un comportement exceptionnel et en alerter » et qu'« il est important d'être prudent et conscient des menaces existantes lorsque en utilisant des bibliothèques open source. Chaque bibliothèque et chaque code doivent être téléchargés à partir d'un distributeur vérifié.

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.