Los investigadores de ciberseguridad han identificado un nuevo ataque que aprovecha las configuraciones erróneas en Apache Hadoop y Flink para implementar mineros de criptomonedas en entornos específicos.
“Este ataque es particularmente intrigante debido al uso por parte del atacante de empaquetadores y rootkits para ocultar el malware”, dijeron los investigadores de seguridad de Aqua, Nitzan Yaakov y Assaf Morag. dicho en un análisis publicado a principios de esta semana. “El malware elimina el contenido de directorios específicos y modifica las configuraciones del sistema para evadir la detección”.
La cadena de infección dirigida a Hadoop aprovecha una mala configuración en YARN (Yet Another Resource Negotiator) Administrador de recursosque es responsable de rastrear los recursos en un clúster y programar aplicaciones.
Específicamente, la configuración incorrecta puede ser aprovechada por un actor de amenaza remoto no autenticado para ejecutar código arbitrario mediante una solicitud HTTP diseñada, sujeta a los privilegios del usuario en el nodo donde se ejecuta el código.
Los ataques dirigidos a Apache Flink, asimismo, apuntan a una configuración incorrecta que permite a un atacante remoto lograr la ejecución de código sin ningún tipo de autenticación.
Estas configuraciones erróneas no son novedosas y han sido explotadas en el pasado por grupos con motivación financiera como TeamTNT, conocido por su historial de apuntar a entornos Docker y Kubernetes con el propósito de criptojacking y otras actividades maliciosas.
Pero lo que hace que el último conjunto de ataques sea digno de mención es el uso de rootkits para ocultar los procesos de minería de criptomonedas después de obtener un punto de apoyo inicial en las aplicaciones Hadoop y Flink.
“El atacante envía una solicitud no autenticada para implementar una nueva aplicación”, explicaron los investigadores. “El atacante puede ejecutar un código remoto enviando una solicitud POST a YARN, solicitando iniciar la nueva aplicación con el comando del atacante”.
El comando está diseñado específicamente para borrar todo el contenido existente del directorio /tmp, recuperar un archivo llamado “dca” de un servidor remoto y ejecutarlo, seguido de eliminar todos los archivos en el directorio /tmp una vez más.
La carga útil ejecutada es un binario ELF empaquetado que actúa como un descargador para recuperar dos rootkits y un binario minero de criptomonedas Monero. Vale la pena señalar que varios adversarios, incluido Kinsing, han recurrido al empleo de rootkits para ocultar la presencia del proceso de minería.
Para lograr persistencia, se crea un trabajo cron para descargar y ejecutar un script de shell que implementa el binario ‘dca’. Un análisis más detallado de la infraestructura del actor de amenazas revela que el servidor de prueba utilizado para recuperar el descargador se registró el 31 de octubre de 2023.
Como mitigación, se recomienda que las organizaciones implementen soluciones de seguridad basadas en agentes para detectar criptomineros, rootkits, archivos binarios ofuscados o empaquetados, así como otros comportamientos sospechosos en tiempo de ejecución.