Een bedreigingsacteur richt zich op organisaties die big data-technologieën van Apache Hadoop en Apache Druid gebruiken met een nieuwe versie van het Lucifer-botnet, een bekende malwaretool die cryptojacking en gedistribueerde Denial of Service (DDoS)-mogelijkheden combineert.
De campagne is een vertrekpunt voor het botnet, en een analyse van Aqua Nautilus deze week suggereert dat de exploitanten ervan nieuwe infectieroutines testen als voorloper van een bredere campagne.
Lucifer is zichzelf verspreidende malware waarover onderzoekers van Palo Alto Networks voor het eerst rapporteerden in mei 2020. Het bedrijf beschreef destijds de bedreiging als gevaarlijke hybride malware die een aanvaller zou kunnen gebruiken om DDoS-aanvallen mogelijk te maken, of om XMRig te laten vallen voor het minen van Monero-cryptocurrency. Palo Alto zei van wel observeerde aanvallers die ook Lucifer gebruikten om te laten vallen dat de NSA is gelekt EternalBlue, EternalRomance en DoublePulsar malware en exploits op doelsystemen.
“Lucifer is een nieuwe hybride van cryptojacking en DDoS-malwarevariant die gebruik maakt van oude kwetsbaarheden om kwaadaardige activiteiten op Windows-platforms te verspreiden en uit te voeren”, had Palo Alto destijds gewaarschuwd.
Nu is het terug en richt het zich op Apache-servers. Onderzoekers van Aqua Nautilus die de campagne hebben gevolgd zei deze week in een blog alleen al in de afgelopen maand hadden ze meer dan 3,000 unieke aanvallen geteld die gericht waren op de Apache Hadoop-, Apache Druid- en Apache Flink-honingpots van het bedrijf.
Lucifer's 3 unieke aanvalsfasen
De campagne is al minstens zes maanden aan de gang, gedurende welke tijd de aanvallers hebben geprobeerd bekende misconfiguraties en kwetsbaarheden in de open source-platforms te misbruiken om hun lading af te leveren.
De campagne bestond tot nu toe uit drie verschillende fasen, wat volgens de onderzoekers waarschijnlijk een indicatie is dat de tegenstander verdedigingsontwijkingstechnieken test voordat hij een grootschalige aanval uitvoert.
“De campagne begon zich in juli op onze honeypots te richten”, zegt Nitzan Yaakov, beveiligingsdata-analist bij Aqua Nautilus. “Tijdens ons onderzoek hebben we gezien dat de aanvaller technieken en methoden bijwerkte om het hoofddoel van de aanval te bereiken: het delven van cryptocurrency.”
Tijdens de eerste fase van de nieuwe campagne zagen Aqua-onderzoekers hoe de aanvallers het internet afspeurden naar verkeerd geconfigureerde Hadoop-instanties. Toen ze een verkeerd geconfigureerde Hadoop YARN (Yet Another Resource Negotiator) clusterresourcebeheer- en taakplannertechnologie op Aqua's honeypot ontdekten, richtten ze zich op die instantie voor exploitactiviteiten. De verkeerd geconfigureerde instantie op Aqua's honeypot had te maken met de resourcemanager van Hadoop YARN en gaf de aanvallers een manier om er willekeurige code op uit te voeren via een speciaal vervaardigd HTTP-verzoek.
De aanvallers maakten misbruik van de verkeerde configuratie om Lucifer te downloaden, uit te voeren en op te slaan in de lokale map van de Hadoop YARN-instantie. Vervolgens zorgden ze ervoor dat de malware op een geplande basis werd uitgevoerd om de persistentie ervan te garanderen. Aqua zag ook dat de aanvaller het binaire bestand verwijderde van het pad waar het aanvankelijk was opgeslagen om detectie te omzeilen.
In de tweede fase van de aanvallen richtten de dreigingsactoren zich opnieuw op verkeerde configuraties in de Hadoop big-data-stack in een poging initiële toegang te krijgen. Deze keer lieten de aanvallers er echter twee vallen op het gecompromitteerde systeem, in plaats van één enkel binair bestand te laten vallen: één die Lucifer executeerde en de andere die blijkbaar niets deed.
In de derde fase veranderde de aanvaller van tactiek en ging, in plaats van zich te richten op verkeerd geconfigureerde Apache Hadoop-instanties, op zoek naar kwetsbare Apache Druid-hosts. Aqua's versie van de Apache Druid-service op zijn honeypot was niet gepatcht CVE-2021-25646, een kwetsbaarheid voor opdrachtinjectie in bepaalde versies van de krachtige analysedatabase. Het beveiligingslek geeft geverifieerde aanvallers een manier om door de gebruiker gedefinieerde JavaScript-code uit te voeren op getroffen systemen.
De aanvaller maakte misbruik van de fout door een opdracht te injecteren voor het downloaden van twee binaire bestanden en deze lees-, schrijf- en uitvoerrechten te geven voor alle gebruikers, aldus Aqua. Eén van de binaire bestanden startte het downloaden van Lucifer, terwijl de andere de malware uitvoerde. In deze fase lijkt de beslissing van de aanvaller om het downloaden en uitvoeren van Lucifer over twee binaire bestanden te verdelen een poging te zijn geweest om detectiemechanismen te omzeilen, merkte de beveiligingsleverancier op.
Hoe u een helse cyberaanval op Apache Big Data kunt vermijden
Vooruitlopend op een mogelijke komende golf van aanvallen op Apache-instances moeten bedrijven hun footprints controleren op veelvoorkomende misconfiguraties en ervoor zorgen dat alle patches up-to-date zijn.
Daarnaast merkten de onderzoekers op dat “onbekende bedreigingen kunnen worden geïdentificeerd door uw omgeving te scannen met runtime-detectie- en responsoplossingen, die uitzonderlijk gedrag kunnen detecteren en daarover kunnen waarschuwen”, en dat “het belangrijk is om voorzichtig te zijn en u bewust te zijn van bestaande bedreigingen terwijl gebruik van open-sourcebibliotheken. Elke bibliotheek en code moet worden gedownload van een geverifieerde distributeur.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/lucifer-botnet-heat-apache-hadoop-servers
