Bir tehdit aktörü, kripto korsanlığı ve dağıtılmış hizmet reddi (DDoS) yeteneklerini birleştiren bilinen bir kötü amaçlı yazılım aracı olan Lucifer botnet’in yeni bir sürümüyle Apache Hadoop ve Apache Druid büyük veri teknolojilerini çalıştıran kuruluşları hedef alıyor.
Kampanya, botnet için bir çıkış niteliğinde ve Aqua Nautilus’un bu hafta yaptığı bir analiz, operatörlerinin daha geniş bir kampanyanın öncüsü olarak yeni enfeksiyon rutinlerini test ettiğini öne sürüyor.
Lucifer, Palo Alto Networks’teki araştırmacıların ilk olarak Mayıs 2020’de bildirdiği, kendi kendine yayılan bir kötü amaçlı yazılımdır. tehlikeli hibrit kötü amaçlı yazılım olarak tehdit Bir saldırganın DDoS saldırılarını etkinleştirmek veya Monero kripto para birimi madenciliği yapmak için XMRig’i bırakmak için kullanabileceği bir şey. Palo Alto öyle olduğunu söyledi Saldırganların da Lucifer kullandığını gözlemledi NSA’nın sızdırdığı bilgileri düşürmek için EternalBlue, EternalRomance ve DoublePulsar hedef sistemlerdeki kötü amaçlı yazılımlar ve istismarlar.
O zamanlar Palo Alto, “Lucifer, Windows platformlarında kötü amaçlı faaliyetler yaymak ve gerçekleştirmek için eski güvenlik açıklarından yararlanan, cryptojacking ve DDoS kötü amaçlı yazılım türevinin yeni bir melezidir” diye uyarmıştı.
Şimdi geri döndü ve Apache sunucularını hedef alıyor. Kampanyayı izleyen Aqua Nautilus araştırmacıları bu hafta bir blogda söyledi yalnızca geçen ay şirketin Apache Hadoop, Apache Druid ve Apache Flink balküplerini hedef alan 3.000’den fazla benzersiz saldırı saydılar.
Lucifer’in 3 Benzersiz Saldırı Aşaması
Saldırı en az altı aydır devam ediyor ve bu süre zarfında saldırganlar, yüklerini teslim etmek için açık kaynak platformlarındaki bilinen yanlış yapılandırmalardan ve güvenlik açıklarından yararlanmaya çalışıyor.
Şu ana kadarki harekât üç farklı aşamadan oluşuyor ve araştırmacılar bunun muhtemelen düşmanın tam ölçekli bir saldırı öncesinde savunmadan kaçınma tekniklerini test ettiğinin bir göstergesi olduğunu söylüyor.
Aqua Nautilus güvenlik veri analisti Nitzan Yaakov, “Kampanya Temmuz ayında bal küplerimizi hedef almaya başladı” diyor. “Araştırmamız sırasında saldırganın, saldırının asıl amacı olan kripto para madenciliği amacına ulaşmak için teknik ve yöntemleri güncellediğini gözlemledik.”
Yeni kampanyanın ilk aşamasında Aqua araştırmacıları, saldırganların yanlış yapılandırılmış Hadoop örnekleri için İnternet’i taradığını gözlemledi. Aqua’nın bal küpünde yanlış yapılandırılmış bir Hadoop YARN (Yet Another Resource Negotiator) kümesi kaynak yönetimi ve iş zamanlayıcı teknolojisi tespit ettiklerinde, bu örneği istismar etkinliği için hedeflediler. Aqua’nın bal küpündeki yanlış yapılandırılmış örnek, Hadoop YARN’ın kaynak yöneticisiyle ilgiliydi ve saldırganlara, özel hazırlanmış bir HTTP isteği yoluyla üzerinde isteğe bağlı kod çalıştırmanın bir yolunu verdi.
Saldırganlar, Lucifer’i indirmek, yürütmek ve Hadoop YARN örneğinin yerel dizininde depolamak için bu yanlış yapılandırmadan yararlandı. Daha sonra kalıcılığı sağlamak için kötü amaçlı yazılımın planlı bir şekilde yürütülmesini sağladılar. Aqua ayrıca saldırganın, tespit edilmekten kaçınmak için ikili dosyayı başlangıçta kaydedildiği yoldan sildiğini de gözlemledi.
Saldırıların ikinci aşamasında, tehdit aktörleri ilk erişimi elde etmek için bir kez daha Hadoop büyük veri yığınındaki yanlış yapılandırmaları hedef aldı. Ancak bu sefer saldırganlar, tek bir ikili dosyayı bırakmak yerine, tehlikeye atılan sisteme iki tane attı; biri Lucifer’i idam etti, diğeri ise görünüşe göre hiçbir şey yapmadı.
Üçüncü aşamada saldırgan taktik değiştirdi ve yanlış yapılandırılmış Apache Hadoop örneklerini hedeflemek yerine savunmasız Apache Druid ana bilgisayarlarını aramaya başladı. Aqua’nın bal küpü üzerindeki Apache Druid hizmetinin sürümüne karşı yama yapılmadı CVE-2021-25646, yüksek performanslı analitik veritabanının belirli sürümlerinde bulunan bir komut ekleme güvenlik açığı. Güvenlik açığı, kimliği doğrulanmış saldırganlara, etkilenen sistemlerde kullanıcı tanımlı JavaScript kodunu yürütme yolu sağlar.
Aqua, saldırganın iki ikili dosyayı indirmek için bir komut enjekte etmek ve bunlara tüm kullanıcılar için okuma, yazma ve yürütme izinleri sağlamak için bu kusurdan yararlandığını söyledi. İkili dosyalardan biri Lucifer’in indirilmesini başlatırken diğeri kötü amaçlı yazılımı çalıştırdı. Güvenlik sağlayıcısı, bu aşamada, saldırganın Lucifer’in indirilmesini ve yürütülmesini iki ikili dosya arasında bölme kararının, tespit mekanizmalarını atlatmaya yönelik bir girişim gibi göründüğünü belirtti.
Apache Büyük Verilerine Yönelik Korkunç Bir Siber Saldırıdan Nasıl Korunulur?
Apache örneklerine yönelik olası bir saldırı dalgası öncesinde kuruluşlar, yaygın yanlış yapılandırmalar için ayak izlerini incelemeli ve tüm yama uygulamalarının güncel olduğundan emin olmalıdır.
Bunun ötesinde araştırmacılar, “bilinmeyen tehditlerin, sıra dışı davranışları tespit edebilen ve bu konuda uyarı verebilen çalışma zamanı tespit ve yanıt çözümleriyle ortamlarınızı tarayarak tespit edilebileceğini” ve “tedavi sırasında mevcut tehditlere karşı dikkatli ve farkında olmanın önemli olduğunu” kaydetti. açık kaynak kitaplıkları kullanarak. Her kitaplık ve kod, doğrulanmış bir distribütörden indirilmelidir.”