제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Apache Hadoop 서버의 열기를 높이는 'Lucifer' 봇넷

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 157

위협 행위자는 크립토재킹과 DDoS(분산 서비스 거부) 기능을 결합한 알려진 악성 코드 도구인 Lucifer 봇넷의 새 버전을 사용하여 Apache Hadoop 및 Apache Druid 빅 데이터 기술을 실행하는 조직을 표적으로 삼고 있습니다.

이 캠페인은 봇넷의 출발점이며, 이번 주 Aqua Nautilus의 분석에 따르면 봇넷 운영자는 더 광범위한 캠페인의 전조로 새로운 감염 루틴을 테스트하고 있는 것으로 나타났습니다.

루시퍼(Lucifer)는 팔로알토네트웍스(Palo Alto Networks) 연구진이 2020년 XNUMX월 처음 보고한 자가 전파형 악성코드다. 당시 회사는 다음과 같이 설명했다. 위험한 하이브리드 악성코드로서의 위협 공격자가 DDoS 공격을 활성화하거나 Monero 암호화폐 채굴을 위해 XMRig를 삭제하는 데 사용할 수 있습니다. 팔로알토가 그랬다고 하더군요 공격자들도 Lucifer를 사용하는 것을 관찰했습니다. NSA의 유출 내용을 삭제하기 위해 EternalBlue, EternalRomance 및 DoublePulsar 대상 시스템에 대한 악성코드 및 익스플로잇.

당시 Palo Alto는 “Lucifer는 오래된 취약점을 활용하여 Windows 플랫폼에서 악성 활동을 확산하고 수행하는 크립토재킹과 DDoS 악성 코드 변종의 새로운 혼합체입니다.”라고 경고했습니다.

이제 Apache 서버를 대상으로 다시 돌아왔습니다. 캠페인을 모니터링해 온 아쿠아 노틸러스 연구원들 이번주에 블로그에서 말했어 지난 한 달 동안만 회사의 Apache Hadoop, Apache Druid 및 Apache Flink 허니팟을 표적으로 삼은 고유한 공격이 3,000건 이상 발생한 것으로 나타났습니다.

루시퍼의 3가지 독특한 공격 단계

이 캠페인은 최소 6개월 동안 진행되었으며, 이 기간 동안 공격자는 페이로드를 전달하기 위해 오픈 소스 플랫폼의 알려진 잘못된 구성과 취약점을 악용하려고 시도했습니다.

연구원들은 지금까지의 캠페인은 3단계로 구성되어 있으며, 이는 공격자가 본격적인 공격에 앞서 방어 회피 기술을 테스트하고 있음을 나타내는 것일 가능성이 높다고 말했습니다.

Aqua Nautilus의 보안 데이터 분석가인 Nitzan Yaakov는 "캠페인은 7월부터 우리의 허니팟을 표적으로 삼기 시작했습니다."라고 말했습니다. “조사 과정에서 우리는 공격자가 공격의 주요 목표인 암호화폐 채굴을 달성하기 위해 기술과 방법을 업데이트하는 것을 관찰했습니다.”

새로운 캠페인의 첫 번째 단계에서 Aqua 연구원은 공격자가 인터넷에서 잘못 구성된 Hadoop 인스턴스를 검색하는 것을 관찰했습니다. 그들은 Aqua의 허니팟에서 잘못 구성된 Hadoop YARN(Yet Another Resource Negotiator) 클러스터 리소스 관리 및 작업 스케줄러 기술을 발견했을 때 해당 인스턴스를 공격 활동의 대상으로 삼았습니다. Aqua의 허니팟에 잘못 구성된 인스턴스는 Hadoop YARN의 리소스 관리자와 관련이 있었으며 공격자가 특별히 제작된 HTTP 요청을 통해 임의의 코드를 실행할 수 있는 방법을 제공했습니다.

공격자는 잘못된 구성을 악용하여 Lucifer를 다운로드하고 실행한 후 Hadoop YARN 인스턴스의 로컬 디렉터리에 저장했습니다. 그런 다음 지속성을 보장하기 위해 악성 코드가 예약된 대로 실행되도록 했습니다. Aqua는 또한 공격자가 탐지를 회피하기 위해 처음 저장된 경로에서 바이너리를 삭제하는 것을 관찰했습니다.

공격의 두 번째 단계에서 위협 행위자는 다시 한번 Hadoop 빅 데이터 스택의 잘못된 구성을 표적으로 삼아 초기 액세스 권한을 얻으려고 했습니다. 그러나 이번에는 공격자들이 손상된 시스템에 바이너리 하나를 드롭하는 대신 두 개를 드롭했습니다. 하나는 Lucifer를 실행했고 다른 하나는 아무것도 하지 않은 것으로 보입니다.

세 번째 단계에서 공격자는 전술을 바꾸고 잘못 구성된 Apache Hadoop 인스턴스를 표적으로 삼는 대신 취약한 Apache Druid 호스트를 찾기 시작했습니다. 허니팟에 있는 Aqua의 Apache Druid 서비스 버전은 패치되지 않았습니다. CVE-2021-25646, 특정 버전의 고성능 분석 데이터베이스에 존재하는 명령 주입 취약점입니다. 이 취약점은 인증된 공격자에게 영향을 받는 시스템에서 사용자 정의 JavaScript 코드를 실행할 수 있는 방법을 제공합니다.

공격자는 이 결함을 악용하여 두 개의 바이너리를 다운로드하고 모든 사용자에게 읽기, 쓰기 및 실행 권한을 부여하는 명령을 주입했다고 Aqua는 말했습니다. 바이너리 중 하나는 Lucifer의 다운로드를 시작했고 다른 하나는 악성 코드를 실행했습니다. 이 단계에서 Lucifer의 다운로드와 실행을 두 개의 바이너리 파일로 분할하기로 한 공격자의 결정은 탐지 메커니즘을 우회하려는 시도로 보인다고 보안 공급업체는 지적했습니다.

Apache 빅 데이터에 대한 지옥 같은 사이버 공격을 피하는 방법

Apache 인스턴스에 대한 잠재적인 공격에 앞서 기업은 일반적인 잘못된 구성에 대한 흔적을 검토하고 모든 패치가 최신 상태인지 확인해야 합니다.

그 외에도 연구원들은 "예외적인 행동을 감지하고 이에 대해 경고할 수 있는 런타임 감지 및 대응 솔루션으로 환경을 스캔하여 알려지지 않은 위협을 식별할 수 있다"고 언급했습니다. 오픈 소스 라이브러리를 사용합니다. 모든 라이브러리와 코드는 검증된 배포자로부터 다운로드되어야 합니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.