Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Botnet 'Lucifer' tăng sức nóng trên các máy chủ Apache Hadoop

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 157

Một kẻ đe dọa đang nhắm mục tiêu vào các tổ chức chạy công nghệ dữ liệu lớn Apache Hadoop và Apache Druid bằng phiên bản mới của mạng botnet Lucifer, một công cụ phần mềm độc hại đã biết kết hợp khả năng mã hóa và từ chối dịch vụ phân tán (DDoS).

Chiến dịch này là một khởi đầu cho mạng botnet và một phân tích trong tuần này từ Aqua Nautilus cho thấy rằng các nhà điều hành mạng này đang thử nghiệm các quy trình lây nhiễm mới như một bước khởi đầu cho một chiến dịch rộng lớn hơn.

Lucifer là phần mềm độc hại tự lan truyền mà các nhà nghiên cứu tại Palo Alto Networks đã báo cáo lần đầu tiên vào tháng 2020 năm XNUMX. Vào thời điểm đó, công ty đã mô tả mối đe dọa như phần mềm độc hại lai nguy hiểm mà kẻ tấn công có thể sử dụng để kích hoạt các cuộc tấn công DDoS hoặc để loại bỏ XMRig để khai thác tiền điện tử Monero. Palo Alto cho biết nó có quan sát thấy những kẻ tấn công cũng sử dụng Lucifer loại bỏ thông tin bị rò rỉ của NSA EternalBlue, EternalRomance và DoublePulsar phần mềm độc hại và khai thác trên các hệ thống mục tiêu.

Palo Alto đã cảnh báo vào thời điểm đó: “Lucifer là một biến thể kết hợp mới của phần mềm độc hại cryptojacking và DDoS, tận dụng các lỗ hổng cũ để phát tán và thực hiện các hoạt động độc hại trên nền tảng Windows”.

Bây giờ, nó đã quay trở lại và nhắm mục tiêu vào các máy chủ Apache. Các nhà nghiên cứu từ Aqua Nautilus đang theo dõi chiến dịch đã nói trong một blog tuần này họ đã đếm được hơn 3,000 cuộc tấn công đặc biệt nhắm vào các honeypot Apache Hadoop, Apache Druid và Apache Flink của công ty chỉ trong tháng trước.

3 giai đoạn tấn công độc đáo của Lucifer

Chiến dịch này đã diễn ra trong ít nhất sáu tháng, trong thời gian đó những kẻ tấn công đã cố gắng khai thác các cấu hình sai và lỗ hổng đã biết trong nền tảng nguồn mở để phân phối tải trọng của chúng.

Chiến dịch cho đến nay bao gồm ba giai đoạn riêng biệt mà các nhà nghiên cứu cho rằng có thể là dấu hiệu cho thấy kẻ thù đang thử nghiệm các kỹ thuật né tránh phòng thủ trước một cuộc tấn công toàn diện.

Nitzan Yakov, nhà phân tích dữ liệu bảo mật tại Aqua Nautilus cho biết: “Chiến dịch này bắt đầu nhắm mục tiêu vào các honeypot của chúng tôi vào tháng 7”. “Trong quá trình điều tra, chúng tôi đã quan sát thấy kẻ tấn công cập nhật các kỹ thuật và phương pháp để đạt được mục tiêu chính của cuộc tấn công – khai thác tiền điện tử.”

Trong giai đoạn đầu tiên của chiến dịch mới, các nhà nghiên cứu của Aqua đã quan sát những kẻ tấn công quét Internet để tìm các phiên bản Hadoop bị định cấu hình sai. Khi họ phát hiện ra công nghệ lập lịch công việc và quản lý tài nguyên cụm Hadoop YARN (Yet Another Resource Negotiator) bị định cấu hình sai trên honeypot của Aqua, họ đã nhắm mục tiêu phiên bản đó để thực hiện hoạt động khai thác. Phiên bản bị định cấu hình sai trên honeypot của Aqua có liên quan đến trình quản lý tài nguyên của Hadoop YARN và cung cấp cho kẻ tấn công cách thực thi mã tùy ý trên đó thông qua một yêu cầu HTTP được tạo đặc biệt.

Những kẻ tấn công đã khai thác cấu hình sai để tải xuống Lucifer, thực thi và lưu trữ nó vào thư mục cục bộ của phiên bản Hadoop YARN. Sau đó, họ đảm bảo phần mềm độc hại được thực thi theo lịch trình để đảm bảo tính tồn tại lâu dài. Aqua cũng quan sát thấy kẻ tấn công xóa tệp nhị phân khỏi đường dẫn nơi nó được lưu ban đầu để cố gắng tránh bị phát hiện.

Trong giai đoạn tấn công thứ hai, kẻ tấn công một lần nữa nhắm vào các cấu hình sai trong ngăn xếp dữ liệu lớn của Hadoop để cố gắng giành quyền truy cập ban đầu. Tuy nhiên, lần này, thay vì thả một tệp nhị phân, những kẻ tấn công đã thả hai tệp nhị phân vào hệ thống bị xâm nhập - một tệp thực thi Lucifer và tệp còn lại dường như không làm gì cả.

Trong giai đoạn thứ ba, kẻ tấn công chuyển chiến thuật và thay vì nhắm mục tiêu vào các phiên bản Apache Hadoop bị định cấu hình sai, chúng bắt đầu tìm kiếm các máy chủ Apache Druid dễ bị tấn công. Phiên bản dịch vụ Apache Druid của Aqua trên honeypot của nó chưa được vá lỗi CVE-2021-25646, một lỗ hổng chèn lệnh trong một số phiên bản nhất định của cơ sở dữ liệu phân tích hiệu suất cao. Lỗ hổng này cung cấp cho những kẻ tấn công đã được xác thực một cách để thực thi mã JavaScript do người dùng xác định trên các hệ thống bị ảnh hưởng.

Aqua cho biết kẻ tấn công đã khai thác lỗ hổng này để chèn lệnh tải xuống hai tệp nhị phân và cho phép chúng có quyền đọc, ghi và thực thi cho tất cả người dùng. Một trong các tệp nhị phân bắt đầu tải xuống Lucifer, trong khi tệp còn lại thực thi phần mềm độc hại. Nhà cung cấp bảo mật lưu ý rằng trong giai đoạn này, quyết định của kẻ tấn công chia việc tải xuống và thực thi Lucifer thành hai tệp nhị phân dường như là một nỗ lực nhằm vượt qua các cơ chế phát hiện.

Cách tránh một cuộc tấn công mạng khủng khiếp trên Dữ liệu lớn của Apache

Trước làn sóng tấn công tiềm tàng chống lại các phiên bản Apache sắp tới, các doanh nghiệp nên xem lại dấu vết của mình để tìm các cấu hình sai phổ biến và đảm bảo tất cả các bản vá đều được cập nhật.

Ngoài ra, các nhà nghiên cứu lưu ý rằng “các mối đe dọa không xác định có thể được xác định bằng cách quét môi trường của bạn bằng các giải pháp phát hiện và phản hồi trong thời gian chạy, có thể phát hiện hành vi đặc biệt và cảnh báo về nó” và rằng “điều quan trọng là phải thận trọng và nhận thức được các mối đe dọa hiện có trong khi sử dụng các thư viện mã nguồn mở. Mọi thư viện và mã phải được tải xuống từ một nhà phân phối đã được xác minh.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.