Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Κυβερνασφάλεια

Το Botnet «Lucifer» ανεβάζει τη θερμότητα στους διακομιστές Apache Hadoop

Αναδημοσίευση από τον Πλάτωνα
Αναδημοσίευση από τον Πλάτωνα

Ημερομηνία:

Εμφανίσεις: 0

Ένας παράγοντας απειλής στοχεύει οργανισμούς που εκτελούν τεχνολογίες μεγάλων δεδομένων Apache Hadoop και Apache Druid με μια νέα έκδοση του botnet Lucifer, ενός γνωστού εργαλείου κακόβουλου λογισμικού που συνδυάζει δυνατότητες cryptojacking και κατανεμημένης άρνησης υπηρεσίας (DDoS).

Η καμπάνια είναι μια αναχώρηση για το botnet και μια ανάλυση αυτή την εβδομάδα από το Aqua Nautilus δείχνει ότι οι χειριστές του δοκιμάζουν νέες ρουτίνες μόλυνσης ως πρόδρομο μιας ευρύτερης καμπάνιας.

Το Lucifer είναι αυτοδιαδιδόμενο κακόβουλο λογισμικό που οι ερευνητές στο Palo Alto Networks ανέφεραν για πρώτη φορά τον Μάιο του 2020. Εκείνη την εποχή, η εταιρεία περιέγραψε το απειλή ως επικίνδυνο υβριδικό κακόβουλο λογισμικό που θα μπορούσε να χρησιμοποιήσει ένας εισβολέας για να ενεργοποιήσει επιθέσεις DDoS ή για να απορρίψει το XMRig για εξόρυξη κρυπτονομισμάτων Monero. Το Palo Alto είπε ότι είχε παρατήρησε επιτιθέμενους που χρησιμοποιούσαν επίσης τον Εωσφόρο να ρίξει τις διαρροές της NSA EternalBlue, EternalRomance και DoublePulsar κακόβουλο λογισμικό και εκμεταλλεύσεις σε συστήματα-στόχους.

«Το Lucifer είναι ένα νέο υβρίδιο κρυπτογράφησης και παραλλαγής κακόβουλου λογισμικού DDoS που αξιοποιεί παλιά τρωτά σημεία για να εξαπλωθούν και να εκτελούν κακόβουλες δραστηριότητες σε πλατφόρμες Windows», είχε προειδοποιήσει τότε ο Palo Alto.

Τώρα, επέστρεψε και στοχεύει διακομιστές Apache. Ερευνητές από το Aqua Nautilus που παρακολουθούσαν την εκστρατεία είπε σε ένα blog αυτή την εβδομάδα είχαν καταμετρήσει περισσότερες από 3,000 μοναδικές επιθέσεις με στόχο τα honeypot Apache Hadoop, Apache Druid και Apache Flink της εταιρείας μόνο τον τελευταίο μήνα.

Οι 3 μοναδικές φάσεις επίθεσης του Lucifer

Η εκστρατεία βρίσκεται σε εξέλιξη για τουλάχιστον έξι μήνες, κατά τη διάρκεια των οποίων οι εισβολείς προσπαθούσαν να εκμεταλλευτούν γνωστές εσφαλμένες διαμορφώσεις και ευπάθειες στις πλατφόρμες ανοιχτού κώδικα για να παραδώσουν το ωφέλιμο φορτίο τους.

Η εκστρατεία μέχρι στιγμής αποτελείται από τρεις διακριτές φάσεις, οι οποίες οι ερευνητές είπαν ότι είναι πιθανώς μια ένδειξη ότι ο αντίπαλος δοκιμάζει τεχνικές αμυντικής αποφυγής πριν από μια επίθεση πλήρους κλίμακας.

«Η καμπάνια ξεκίνησε να στοχεύει τα honeypots μας τον Ιούλιο», λέει ο Nitzan Yaakov, αναλυτής δεδομένων ασφαλείας στην Aqua Nautilus. «Κατά τη διάρκεια της έρευνάς μας, παρατηρήσαμε τον εισβολέα να ενημερώνει τεχνικές και μεθόδους για να επιτύχει τον κύριο στόχο της επίθεσης - την εξόρυξη κρυπτονομισμάτων».

Κατά τη διάρκεια του πρώτου σταδίου της νέας καμπάνιας, οι ερευνητές του Aqua παρατήρησαν τους επιτιθέμενους να σαρώνουν το Διαδίκτυο για κακώς διαμορφωμένες περιπτώσεις Hadoop. Όταν εντόπισαν μια εσφαλμένη διαχείριση πόρων και τεχνολογία προγραμματισμού εργασιών Hadoop YARN (Ένας Άλλος Διαπραγματευτής Πόρων) στο honeypot του Aqua, στόχευσαν αυτό το παράδειγμα για δραστηριότητα εκμετάλλευσης. Το εσφαλμένο στιγμιότυπο στο honeypot του Aqua είχε να κάνει με τον διαχειριστή πόρων του Hadoop YARN και έδωσε στους εισβολείς έναν τρόπο να εκτελέσουν αυθαίρετο κώδικα σε αυτό μέσω ενός ειδικά διαμορφωμένου αιτήματος HTTP.

Οι εισβολείς εκμεταλλεύτηκαν την εσφαλμένη διαμόρφωση για να κατεβάσουν το Lucifer, να το εκτελέσουν και να το αποθηκεύσουν στον τοπικό κατάλογο του στιγμιότυπου Hadoop YARN. Στη συνέχεια διασφάλισαν ότι το κακόβουλο λογισμικό εκτελούνταν σε προγραμματισμένη βάση για να διασφαλίσουν την επιμονή. Το Aqua παρατήρησε επίσης τον εισβολέα να διαγράφει το δυαδικό αρχείο από τη διαδρομή όπου είχε αρχικά αποθηκευτεί για να προσπαθήσει να αποφύγει τον εντοπισμό.

Στη δεύτερη φάση των επιθέσεων, οι φορείς απειλών στόχευσαν για άλλη μια φορά λανθασμένες διαμορφώσεις στη στοίβα μεγάλων δεδομένων Hadoop για να προσπαθήσουν να αποκτήσουν αρχική πρόσβαση. Αυτή τη φορά, ωστόσο, αντί να ρίξουν ένα μόνο δυαδικό, οι εισβολείς έριξαν δύο στο παραβιασμένο σύστημα - το ένα που εκτέλεσε τον Lucifer και το άλλο που προφανώς δεν έκανε τίποτα.

Στην τρίτη φάση, ο εισβολέας άλλαξε τακτική και, αντί να στοχεύσει εσφαλμένα διαμορφωμένα στιγμιότυπα Apache Hadoop, άρχισε να ψάχνει για ευάλωτους κεντρικούς υπολογιστές Apache Druid. Η έκδοση του Aqua της υπηρεσίας Apache Druid στο honeypot του δεν είχε επιδιορθωθεί CVE-2021-25646, μια ευπάθεια εισαγωγής εντολών σε ορισμένες εκδόσεις της βάσης δεδομένων αναλυτικών στοιχείων υψηλής απόδοσης. Η ευπάθεια δίνει στους επιβεβαιωμένους εισβολείς έναν τρόπο να εκτελέσουν κώδικα JavaScript που ορίζεται από το χρήστη σε συστήματα που επηρεάζονται.

Ο εισβολέας εκμεταλλεύτηκε το ελάττωμα για να εισαγάγει μια εντολή για τη λήψη δύο δυαδικών αρχείων και για να τους επιτρέψει δικαιώματα ανάγνωσης, εγγραφής και εκτέλεσης για όλους τους χρήστες, είπε η Aqua. Ένα από τα δυαδικά ξεκίνησε τη λήψη του Lucifer, ενώ το άλλο εκτέλεσε το κακόβουλο λογισμικό. Σε αυτή τη φάση, η απόφαση του εισβολέα να χωρίσει τη λήψη και την εκτέλεση του Lucifer σε δύο δυαδικά αρχεία φαίνεται να ήταν μια προσπάθεια παράκαμψης μηχανισμών ανίχνευσης, σημείωσε ο προμηθευτής ασφαλείας.

Πώς να αποφύγετε μια κολασμένη κυβερνοεπίθεση στα μεγάλα δεδομένα του Apache

Ενόψει ενός πιθανού επερχόμενου κύματος επιθέσεων κατά των περιπτώσεων Apache, οι επιχειρήσεις θα πρέπει να επανεξετάσουν τα ίχνη τους για κοινές εσφαλμένες ρυθμίσεις παραμέτρων και να διασφαλίσουν ότι όλες οι ενημερώσεις κώδικα είναι ενημερωμένες.

Πέρα από αυτό, οι ερευνητές σημείωσαν ότι "άγνωστες απειλές μπορούν να εντοπιστούν σαρώνοντας τα περιβάλλοντά σας με λύσεις ανίχνευσης και απόκρισης χρόνου εκτέλεσης, οι οποίες μπορούν να ανιχνεύσουν εξαιρετική συμπεριφορά και να ειδοποιήσουν γι 'αυτήν" και ότι "είναι σημαντικό να είστε προσεκτικοί και ενήμεροι για τις υπάρχουσες απειλές ενώ χρησιμοποιώντας βιβλιοθήκες ανοιχτού κώδικα. Κάθε βιβλιοθήκη και κώδικας θα πρέπει να ληφθούν από έναν επαληθευμένο διανομέα.»

spot_img

Τελευταία Νοημοσύνη

spot_img

Πνευματικά δικαιώματα @ 2024 Plato Technologies Inc.

Συνομιλία με μας

Γεια σου! Πώς μπορώ να σε βοηθήσω?