{"id":1097703,"date":"2024-01-12T07:37:36","date_gmt":"2024-01-12T09:37:36","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-cryptomineurs-ciblent-apache-hadoop-et-flink-mal-configures-avec-rootkit-dans-de-nouvelles-attaques\/"},"modified":"2024-01-12T07:37:40","modified_gmt":"2024-01-12T09:37:40","slug":"les-cryptomineurs-ciblent-apache-hadoop-et-flink-mal-configures-avec-rootkit-dans-de-nouvelles-attaques","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-cryptomineurs-ciblent-apache-hadoop-et-flink-mal-configures-avec-rootkit-dans-de-nouvelles-attaques\/","title":{"rendered":"Les cryptomineurs ciblent Apache Hadoop et Flink mal configur\u00e9s avec Rootkit dans de nouvelles attaques"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 janvier 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Crypto-monnaie\/logiciels malveillants<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-cryptomineurs-ciblent-Apache-Hadoop-et-Flink-mal-configures-avec.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les chercheurs en cybers\u00e9curit\u00e9 ont identifi\u00e9 une nouvelle attaque qui exploite les mauvaises configurations d&#8217;Apache Hadoop et Flink pour d\u00e9ployer des mineurs de cryptomonnaie dans des environnements cibl\u00e9s.<\/p>\n<p>&#8220;Cette attaque est particuli\u00e8rement intrigante en raison de l&#8217;utilisation par l&#8217;attaquant de packers et de rootkits pour dissimuler le logiciel malveillant&#8221;, ont d\u00e9clar\u00e9 Nitzan Yaakov et Assaf Morag, chercheurs en s\u00e9curit\u00e9 chez Aqua. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.aquasec.com\/threat-alert-apache-applications-targeted-by-stealthy-attacker\" target=\"_blank\">dit<\/a> dans une analyse publi\u00e9e plus t\u00f4t cette semaine.  &#8220;Le malware supprime le contenu de r\u00e9pertoires sp\u00e9cifiques et modifie les configurations du syst\u00e8me pour \u00e9chapper \u00e0 la d\u00e9tection.&#8221;<\/p>\n<p>La cha\u00eene d&#8217;infection ciblant Hadoop exploite une mauvaise configuration dans le YARN (Yet Another Resource Negoator) <a rel=\"nofollow noopener\" href=\"https:\/\/hadoop.apache.org\/docs\/stable\/hadoop-yarn\/hadoop-yarn-site\/YARN.html\" target=\"_blank\">Gestionnaire de ressources<\/a>qui est responsable du suivi des ressources dans un cluster et de la planification des applications.<\/p>\n<p>Plus pr\u00e9cis\u00e9ment, la mauvaise configuration peut \u00eatre exploit\u00e9e par un acteur malveillant distant et non authentifi\u00e9 pour ex\u00e9cuter du code arbitraire au moyen d&#8217;une requ\u00eate HTTP contrefaite, sous r\u00e9serve des privil\u00e8ges de l&#8217;utilisateur sur le n\u0153ud o\u00f9 le code est ex\u00e9cut\u00e9.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/BHcgTukm\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/1704092918_732_Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>De m\u00eame, les attaques visant Apache Flink visent une mauvaise configuration qui permet \u00e0 un attaquant distant d\u2019ex\u00e9cuter du code sans aucune authentification.<\/p>\n<p>Ces erreurs de configuration ne sont pas nouvelles et ont \u00e9t\u00e9 exploit\u00e9es dans le pass\u00e9 par des groupes \u00e0 motivation financi\u00e8re comme TeamTNT, connu pour son historique de ciblage des environnements Docker et Kubernetes \u00e0 des fins de cryptojacking et d&#8217;autres activit\u00e9s malveillantes.<\/p>\n<p>Mais ce qui rend la derni\u00e8re s\u00e9rie d\u2019attaques remarquable, c\u2019est l\u2019utilisation de rootkits pour masquer les processus de crypto mining apr\u00e8s avoir pris un premier pied dans les applications Hadoop et Flink.<\/p>\n<p>&#8220;L&#8217;attaquant envoie une requ\u00eate non authentifi\u00e9e pour d\u00e9ployer une nouvelle application&#8221;, expliquent les chercheurs.  &#8220;L&#8217;attaquant est capable d&#8217;ex\u00e9cuter un code \u00e0 distance en envoyant une requ\u00eate POST au YARN, demandant de lancer la nouvelle application avec la commande de l&#8217;attaquant.&#8221;<\/p>\n<p>La commande est sp\u00e9cialement con\u00e7ue pour effacer le r\u00e9pertoire \/tmp de tout le contenu existant, r\u00e9cup\u00e9rer un fichier appel\u00e9 &#8220;dca&#8221; sur un serveur distant et l&#8217;ex\u00e9cuter, puis supprimer \u00e0 nouveau tous les fichiers du r\u00e9pertoire \/tmp.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/3UvK59NV\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Nouveau-JinxLoader-ciblant-les-utilisateurs-avec-les-logiciels-malveillants-Formbook.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La charge utile ex\u00e9cut\u00e9e est un binaire ELF compress\u00e9 qui agit comme un t\u00e9l\u00e9chargeur pour r\u00e9cup\u00e9rer deux rootkits et un binaire de mineur de crypto-monnaie Monero.  Il convient de souligner que divers adversaires, dont Kinsing, ont eu recours \u00e0 des rootkits pour dissimuler la pr\u00e9sence du processus de minage.<\/p>\n<p>Pour assurer la persistance, une t\u00e2che cron est cr\u00e9\u00e9e pour t\u00e9l\u00e9charger et ex\u00e9cuter un script shell qui d\u00e9ploie le binaire \u00ab dca \u00bb.  Une analyse plus approfondie de l&#8217;infrastructure de l&#8217;acteur mena\u00e7ant r\u00e9v\u00e8le que le serveur interm\u00e9diaire utilis\u00e9 pour r\u00e9cup\u00e9rer le t\u00e9l\u00e9chargeur a \u00e9t\u00e9 enregistr\u00e9 le 31 octobre 2023.<\/p>\n<p>\u00c0 titre d&#8217;att\u00e9nuation, il est recommand\u00e9 aux organisations de d\u00e9ployer des solutions de s\u00e9curit\u00e9 bas\u00e9es sur des agents pour d\u00e9tecter les cryptomineurs, les rootkits, les binaires obscurcis ou compress\u00e9s, ainsi que d&#8217;autres comportements d&#8217;ex\u00e9cution suspects.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/01\/cryptominers-targeting-misconfigured.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 janvier 2024\ue804R\u00e9dactionCrypto-monnaie\/logiciels malveillants Les chercheurs en cybers\u00e9curit\u00e9 ont identifi\u00e9 une nouvelle attaque qui exploite les mauvaises configurations d&#8217;Apache Hadoop et Flink pour d\u00e9ployer des mineurs de cryptomonnaie dans des environnements cibl\u00e9s. &#8220;Cette attaque est particuli\u00e8rement intrigante en raison de l&#8217;utilisation par l&#8217;attaquant de packers et de rootkits pour dissimuler le logiciel malveillant&#8221;, ont d\u00e9clar\u00e9 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1097704,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,43333,8074,84,5863,4168,149319,79695,4165,4161,200267,429,47552,224087,4159,4171,65,200271,376,200268,120,200269,200270,30795,128318,4172,4169,4166,4164],"class_list":["post-1097703","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-apache","tag-attaques","tag-avec","tag-ciblent","tag-comment-pirater","tag-configures","tag-cryptomineurs","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-flink","tag-hadoop","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mal","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-rootkit","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1097703","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1097703"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1097703\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1097704"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1097703"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1097703"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1097703"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}