Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Criptomineros apuntan a Apache Hadoop y Flink mal configurados con Rootkit en nuevos ataques
  • Tecnología

Criptomineros apuntan a Apache Hadoop y Flink mal configurados con Rootkit en nuevos ataques

teknomers 12 de Ocak de 2024 (Last updated: 12 de Ocak de 2024) 3 minutes read
Criptomineros apuntan a Apache Hadoop y Flink mal configurados con


12 de enero de 2024Sala de redacciónCriptomoneda/Malware

Los investigadores de ciberseguridad han identificado un nuevo ataque que aprovecha las configuraciones erróneas en Apache Hadoop y Flink para implementar mineros de criptomonedas en entornos específicos.

“Este ataque es particularmente intrigante debido al uso por parte del atacante de empaquetadores y rootkits para ocultar el malware”, dijeron los investigadores de seguridad de Aqua, Nitzan Yaakov y Assaf Morag. dicho en un análisis publicado a principios de esta semana. “El malware elimina el contenido de directorios específicos y modifica las configuraciones del sistema para evadir la detección”.

La cadena de infección dirigida a Hadoop aprovecha una mala configuración en YARN (Yet Another Resource Negotiator) Administrador de recursosque es responsable de rastrear los recursos en un clúster y programar aplicaciones.

Específicamente, la configuración incorrecta puede ser aprovechada por un actor de amenaza remoto no autenticado para ejecutar código arbitrario mediante una solicitud HTTP diseñada, sujeta a los privilegios del usuario en el nodo donde se ejecuta el código.

La seguridad cibernética

Los ataques dirigidos a Apache Flink, asimismo, apuntan a una configuración incorrecta que permite a un atacante remoto lograr la ejecución de código sin ningún tipo de autenticación.

Estas configuraciones erróneas no son novedosas y han sido explotadas en el pasado por grupos con motivación financiera como TeamTNT, conocido por su historial de apuntar a entornos Docker y Kubernetes con el propósito de criptojacking y otras actividades maliciosas.

Pero lo que hace que el último conjunto de ataques sea digno de mención es el uso de rootkits para ocultar los procesos de minería de criptomonedas después de obtener un punto de apoyo inicial en las aplicaciones Hadoop y Flink.

“El atacante envía una solicitud no autenticada para implementar una nueva aplicación”, explicaron los investigadores. “El atacante puede ejecutar un código remoto enviando una solicitud POST a YARN, solicitando iniciar la nueva aplicación con el comando del atacante”.

El comando está diseñado específicamente para borrar todo el contenido existente del directorio /tmp, recuperar un archivo llamado “dca” de un servidor remoto y ejecutarlo, seguido de eliminar todos los archivos en el directorio /tmp una vez más.

La seguridad cibernética

La carga útil ejecutada es un binario ELF empaquetado que actúa como un descargador para recuperar dos rootkits y un binario minero de criptomonedas Monero. Vale la pena señalar que varios adversarios, incluido Kinsing, han recurrido al empleo de rootkits para ocultar la presencia del proceso de minería.

Para lograr persistencia, se crea un trabajo cron para descargar y ejecutar un script de shell que implementa el binario ‘dca’. Un análisis más detallado de la infraestructura del actor de amenazas revela que el servidor de prueba utilizado para recuperar el descargador se registró el 31 de octubre de 2023.

Como mitigación, se recomienda que las organizaciones implementen soluciones de seguridad basadas en agentes para detectar criptomineros, rootkits, archivos binarios ofuscados o empaquetados, así como otros comportamientos sospechosos en tiempo de ejecución.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ¿Desaparecerá el contador de gas digital obligatorio en unas semanas? El gobierno flamenco quiere ponerle fin
Next: Los residentes locales de Haarlem Sonneborn están cansados ​​y cínicos ante los planes de construcción

Related Stories

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?
  • Tecnología

Climatización en canícula: ¿coche eléctrico o térmico, cuál resiste mejor?

teknomers 11 de Temmuz de 2026
PlayStation y la muerte del disco: por qué el mejor
  • Tecnología

PlayStation y la muerte del disco: por qué el mejor golpe de marketing de Sony se vuelve en su contra

teknomers 11 de Temmuz de 2026
VPN de vacaciones: cómo elegir el servidor adecuado en el
  • Tecnología

VPN de vacaciones: cómo elegir el servidor adecuado en el extranjero

teknomers 11 de Temmuz de 2026

You May Have Missed

  • Deporte

Copa Mundial 2026: Funcionaria de Fifa se niega a responder preguntas sobre la prohibición de la BBC

teknomers 11 de Temmuz de 2026
  • General

“Acusaciones absurdas…”: China y Rusia critican a EE. UU. y Reino Unido en un explosivo enfrentamiento en la ONU sobre la guerra en Irán – Teknomers Video

teknomers 11 de Temmuz de 2026
Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para
  • Deporte

Noruega-Inglaterra: el video del gol excepcional de Andreas Schjelderup para desbloquear los cuartos de final

teknomers 11 de Temmuz de 2026
  • Cultura

«La abuela de YouTube»: la actriz Claudette Walker ha fallecido a los 86 años

teknomers 11 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.