Новости Hadoop и Flink стали целью для криптоджекинга: какие уязвимости используют злоумышленники для атаки

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Aqua Security раскрывает слабые места в популярных продуктах Apache.


buaw0z1qxe136hbe0s5p0llk8no1ie89.jpg


Исследователи в области кибербезопасности обнаружили новый тип атаки, эксплуатирующей недостатки в конфигурации программного обеспечения Hadoop и Flink от Apache для развёртывания майнеров криптовалют в целевых системах.

«Эта атака особенно интересна из-за использования злоумышленниками упаковщиков и руткитов для скрытия вредоносного ПО», — отмечают исследователи из Aqua Security в Для просмотра ссылки Войди или Зарегистрируйся , опубликованном 8 января. Вредоносное ПО удаляет содержимое определённых директорий и изменяет системные конфигурации для уклонения от обнаружения.

Цепочка заражения Apache Hadoop использует неправильную конфигурацию менеджера ресурсов Для просмотра ссылки Войди или Зарегистрируйся (Yet Another Resource Negotiator), который отвечает за отслеживание ресурсов в кластере и планирование приложений.

В частности, данная недоработка позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольный код с помощью специально созданного HTTP -запроса, в зависимости от привилегий пользователя на узле, где выполняется код.

Аналогичные атаки на Apache Flink также нацелены на неправильную конфигурацию, которая позволяет удалённому атакующему выполнять код без какой-либо аутентификации.

Эти уязвимости отнюдь не новы и ранее Для просмотра ссылки Войди или Зарегистрируйся группами, мотивированными финансовой выгодой, такими как TeamTNT, известной своими атаками на Docker и Kubernetes с целью криптоджекинга и других вредоносных действий.

Тем не менее, последние атаки примечательны использованием руткитов для скрытия процессов майнинга криптовалют после первоначального проникновения в приложения Hadoop и Flink.

Сначала злоумышленник отправляет неаутентифицированный запрос на развёртывание нового приложения, а затем отправляет POST-запрос к YARN с просьбой открыть это новое приложение с определённой командой.

Команда предназначена для очистки директории /tmp от всех существующих файлов, загрузки файла под названием «dca» с удалённого сервера и его выполнения, а затем повторного удаления всех файлов в директории /tmp.

Запущенный код представляет собой упакованный ELF -бинарник, который загружает два руткита и бинарный файл майнера Monero. Для достижения постоянства атаки создаётся cron-задание для загрузки и выполнения шелл-скрипта, который развёртывает бинарный файл «dca».

Анализ инфраструктуры злоумышленника показывает, что сервер для скачивания полезной нагрузки был зарегистрирован 31 октября 2023 года.

В качестве мер по смягчению рисков организациям рекомендуется развёртывать решения безопасности на основе агентов для обнаружения криптомайнеров, руткитов, обфусцированных или упакованных двоичных файлов, а также других подозрительных действий.
 
Источник новости
www.securitylab.ru

Похожие темы