ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

「Lucifer」ボットネットが Apache Hadoop サーバーの熱を高める

プラトン再発行
プラトン再発行

日付:

閲覧数: 157

攻撃者は、クリプトジャッキングと分散型サービス拒否 (DDoS) 機能を組み合わせた既知のマルウェア ツールである Lucifer ボットネットの新バージョンを使用して、Apache Hadoop および Apache Druid ビッグ データ テクノロジを実行している組織をターゲットにしています。

このキャンペーンはボットネットにとって出発点であり、Aqua Nautilus の今週の分析では、ボットネットの運営者がより広範なキャンペーンの前兆として新しい感染ルーチンをテストしていることが示唆されています。

Lucifer は、パロアルトネットワークスの研究者が 2020 年 XNUMX 月に初めて報告した自己増殖型マルウェアです。当時、同社は 危険なハイブリッド マルウェアとしての脅威 攻撃者が DDoS 攻撃を有効にしたり、Monero 暗号通貨をマイニングするための XMRig をドロップしたりするために使用する可能性があります。パロアルトはそう言った 攻撃者も Lucifer を使用していることが観察されました NSAの漏洩情報を削除する エターナルブルー、エターナルロマンス、ダブルパルサー ターゲット システム上のマルウェアとエクスプロイト。

パロアルトは当時、「LuciferはクリプトジャッキングとDDoSマルウェアの亜種を組み合わせた新たな亜種であり、古い脆弱性を利用してWindowsプラットフォーム上で悪意のある活動を広め、実行する」と警告していた。

現在、それは戻ってきて、Apache サーバーをターゲットにしています。このキャンペーンを監視してきた Aqua Nautilus の研究者 今週のブログで言ってた 彼らは、先月だけで、同社の Apache Hadoop、Apache Druid、および Apache Flink ハニーポットをターゲットとした 3,000 件を超える独自の攻撃を数えていました。

ルシファーの 3 つのユニークな攻撃フェーズ

このキャンペーンは少なくとも 6 か月間継続されており、その間、攻撃者はオープン ソース プラットフォームの既知の構成ミスや脆弱性を悪用してペイロードを配信しようと試みてきました。

これまでの攻撃は 3 つの異なるフェーズで構成されており、研究者らは、これは敵が本格的な攻撃に先立って防御回避技術をテストしていることを示している可能性が高いと述べています。

「このキャンペーンは 7 月に当社のハニーポットをターゲットにし始めました」と、Aqua Nautilus のセキュリティ データ アナリストである Nitzan Yaakov 氏は述べています。 「調査中に、攻撃者が攻撃の主な目的である暗号通貨のマイニングを達成するために技術と方法を更新していることを観察しました。」

新しいキャンペーンの第 1 段階で、Aqua の研究者は、攻撃者がインターネットをスキャンして、構成が間違っている Hadoop インスタンスを探していることを観察しました。 Aqua のハニーポット上で、誤って構成された Hadoop YARN (Yet Another Resource Negotiator) クラスター リソース管理およびジョブ スケジューラ テクノロジを検出したとき、彼らはそのインスタンスを悪用活動のターゲットにしました。 Aqua のハニーポット上の誤った構成のインスタンスは Hadoop YARN のリソース マネージャーに関係しており、特別に細工された HTTP リクエストを介して攻撃者に任意のコードを実行する手段を与えていました。

攻撃者は構成ミスを悪用して Lucifer をダウンロードし、実行して Hadoop YARN インスタンスのローカル ディレクトリに保存しました。次に、マルウェアがスケジュールに基づいて実行され、永続性が確保されるようにしました。 Aqua は、攻撃者が検出を回避するために最初に保存されたパスからバイナリを削除していることも観察しました。

攻撃の第 2 段階では、攻撃者は再び Hadoop ビッグデータ スタックの構成ミスを標的にして、初期アクセスを取得しようとしました。しかし今回、攻撃者は 1 つのバイナリをドロップする代わりに、侵害されたシステムに 2 つのバイナリをドロップしました。1 つはルシファーを実行し、もう 1 つは明らかに何もしませんでした。

第 3 フェーズでは、攻撃者は戦術を切り替え、設定が間違っている Apache Hadoop インスタンスをターゲットにするのではなく、脆弱な Apache Druid ホストを探し始めました。 Aqua のハニーポット上の Apache Druid サービスのバージョンにはパッチが適用されていませんでした CVE-2021-25646、高性能分析データベースの特定のバージョンに存在するコマンド インジェクションの脆弱性。この脆弱性により、認証された攻撃者は影響を受けるシステム上でユーザー定義の JavaScript コードを実行する手段が与えられます。

Aqua 氏によると、攻撃者はこの欠陥を悪用して、2 つのバイナリをダウンロードし、すべてのユーザーに対して読み取り、書き込み、実行の権限を与えるコマンドを挿入したという。バイナリの 1 つは Lucifer のダウンロードを開始し、もう 1 つはマルウェアを実行しました。この段階で、Lucifer のダウンロードと実行を 2 つのバイナリ ファイルに分割するという攻撃者の決定は、検出メカニズムをバイパスする試みだったようだとセキュリティ ベンダーは指摘しました。

Apache ビッグデータに対する地獄のようなサイバー攻撃を回避する方法

Apache インスタンスに対する今後の攻撃の可能性を前に、企業は一般的な構成ミスのフットプリントを確認し、すべてのパッチが最新であることを確認する必要があります。

さらに研究者らは、「ランタイム検出および対応ソリューションを使用して環境をスキャンすることで未知の脅威を特定できる。これにより、異常な動作を検出して警告することができる」、「既存の脅威を警戒し、認識しておくことが重要である」と述べています。オープンソース ライブラリを使用します。すべてのライブラリとコードは、検証済みのディストリビュータからダウンロードする必要があります。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.