Les chercheurs en cybersécurité ont identifié une nouvelle attaque qui exploite les mauvaises configurations d’Apache Hadoop et Flink pour déployer des mineurs de cryptomonnaie dans des environnements ciblés.
« Cette attaque est particulièrement intrigante en raison de l’utilisation par l’attaquant de packers et de rootkits pour dissimuler le logiciel malveillant », ont déclaré Nitzan Yaakov et Assaf Morag, chercheurs en sécurité chez Aqua. dit dans une analyse publiée plus tôt cette semaine. « Le malware supprime le contenu de répertoires spécifiques et modifie les configurations du système pour échapper à la détection. »
La chaîne d’infection ciblant Hadoop exploite une mauvaise configuration dans le YARN (Yet Another Resource Negoator) Gestionnaire de ressourcesqui est responsable du suivi des ressources dans un cluster et de la planification des applications.
Plus précisément, la mauvaise configuration peut être exploitée par un acteur malveillant distant et non authentifié pour exécuter du code arbitraire au moyen d’une requête HTTP contrefaite, sous réserve des privilèges de l’utilisateur sur le nœud où le code est exécuté.
De même, les attaques visant Apache Flink visent une mauvaise configuration qui permet à un attaquant distant d’exécuter du code sans aucune authentification.
Ces erreurs de configuration ne sont pas nouvelles et ont été exploitées dans le passé par des groupes à motivation financière comme TeamTNT, connu pour son historique de ciblage des environnements Docker et Kubernetes à des fins de cryptojacking et d’autres activités malveillantes.
Mais ce qui rend la dernière série d’attaques remarquable, c’est l’utilisation de rootkits pour masquer les processus de crypto mining après avoir pris un premier pied dans les applications Hadoop et Flink.
« L’attaquant envoie une requête non authentifiée pour déployer une nouvelle application », expliquent les chercheurs. « L’attaquant est capable d’exécuter un code à distance en envoyant une requête POST au YARN, demandant de lancer la nouvelle application avec la commande de l’attaquant. »
La commande est spécialement conçue pour effacer le répertoire /tmp de tout le contenu existant, récupérer un fichier appelé « dca » sur un serveur distant et l’exécuter, puis supprimer à nouveau tous les fichiers du répertoire /tmp.
La charge utile exécutée est un binaire ELF compressé qui agit comme un téléchargeur pour récupérer deux rootkits et un binaire de mineur de crypto-monnaie Monero. Il convient de souligner que divers adversaires, dont Kinsing, ont eu recours à des rootkits pour dissimuler la présence du processus de minage.
Pour assurer la persistance, une tâche cron est créée pour télécharger et exécuter un script shell qui déploie le binaire « dca ». Une analyse plus approfondie de l’infrastructure de l’acteur menaçant révèle que le serveur intermédiaire utilisé pour récupérer le téléchargeur a été enregistré le 31 octobre 2023.
À titre d’atténuation, il est recommandé aux organisations de déployer des solutions de sécurité basées sur des agents pour détecter les cryptomineurs, les rootkits, les binaires obscurcis ou compressés, ainsi que d’autres comportements d’exécution suspects.