Brother
Professional
- Messages
- 2,590
- Reaction score
- 483
- Points
- 83
Исследователи кибербезопасности выявили новую атаку, которая использует неправильные конфигурации в Apache Hadoop и Flink для развертывания майнеров криптовалюты в целевых средах.
"Эта атака особенно интригует из-за использования злоумышленником упаковщиков и руткитов для сокрытия вредоносного ПО", - сказали исследователи Aqua security Ницан Яаков и Ассаф Мораг в анализе, опубликованном ранее на этой неделе. "Вредоносная программа удаляет содержимое определенных каталогов и изменяет конфигурации системы, чтобы избежать обнаружения".
Цепочка заражений, нацеленная на Hadoop, использует неправильную конфигурацию в ResourceManager YARN (еще одном средстве согласования ресурсов), который отвечает за отслеживание ресурсов в кластере и планирование приложений.
В частности, неправильная конфигурация может быть использована не прошедшим проверку подлинности удаленным субъектом угрозы для выполнения произвольного кода посредством созданного HTTP-запроса с учетом привилегий пользователя на узле, где выполняется код.
Атаки, направленные на Apache Flink, аналогично, нацелены на неправильную конфигурацию, которая позволяет удаленному злоумышленнику выполнять код без какой-либо аутентификации.
Эти неправильные настройки не являются чем-то новым и использовались в прошлом финансово мотивированными группами, такими как TeamTNT, которая известна своей историей нацеливания на среды Docker и Kubernetes с целью криптоджекинга и других вредоносных действий.
Но что делает последнюю серию атак примечательной, так это использование руткитов для сокрытия процессов криптодобычи после получения первоначального плацдарма в приложениях Hadoop и Flink.
"Злоумышленник отправляет запрос без проверки подлинности для развертывания нового приложения", - объяснили исследователи. "Злоумышленник может запустить удаленный код, отправив POST-запрос в YARN с просьбой запустить новое приложение с помощью команды злоумышленника".
Команда предназначена для очистки каталога /tmp от всего существующего содержимого, извлечения файла с именем "dca" с удаленного сервера и его выполнения с последующим повторным удалением всех файлов в каталоге /tmp.
Выполняемая полезная нагрузка представляет собой упакованный двоичный файл ELF, который действует как загрузчик для извлечения двух руткитов и двоичного файла майнера криптовалюты Monero. Стоит отметить, что различные злоумышленники, включая Кинсинг, прибегли к использованию руткитов, чтобы скрыть присутствие процесса майнинга.
Для обеспечения устойчивости создается задание cron для загрузки и выполнения сценария оболочки, который развертывает двоичный файл 'dca'. Дальнейший анализ инфраструктуры субъекта угрозы показывает, что промежуточный сервер, используемый для получения загрузчика, был зарегистрирован 31 октября 2023 года.
В качестве мер по смягчению последствий организациям рекомендуется развертывать агентные решения безопасности для обнаружения криптомайнеров, руткитов, запутанных или упакованных двоичных файлов, а также другого подозрительного поведения во время выполнения.
"Эта атака особенно интригует из-за использования злоумышленником упаковщиков и руткитов для сокрытия вредоносного ПО", - сказали исследователи Aqua security Ницан Яаков и Ассаф Мораг в анализе, опубликованном ранее на этой неделе. "Вредоносная программа удаляет содержимое определенных каталогов и изменяет конфигурации системы, чтобы избежать обнаружения".
Цепочка заражений, нацеленная на Hadoop, использует неправильную конфигурацию в ResourceManager YARN (еще одном средстве согласования ресурсов), который отвечает за отслеживание ресурсов в кластере и планирование приложений.
В частности, неправильная конфигурация может быть использована не прошедшим проверку подлинности удаленным субъектом угрозы для выполнения произвольного кода посредством созданного HTTP-запроса с учетом привилегий пользователя на узле, где выполняется код.
Атаки, направленные на Apache Flink, аналогично, нацелены на неправильную конфигурацию, которая позволяет удаленному злоумышленнику выполнять код без какой-либо аутентификации.
Эти неправильные настройки не являются чем-то новым и использовались в прошлом финансово мотивированными группами, такими как TeamTNT, которая известна своей историей нацеливания на среды Docker и Kubernetes с целью криптоджекинга и других вредоносных действий.
Но что делает последнюю серию атак примечательной, так это использование руткитов для сокрытия процессов криптодобычи после получения первоначального плацдарма в приложениях Hadoop и Flink.
"Злоумышленник отправляет запрос без проверки подлинности для развертывания нового приложения", - объяснили исследователи. "Злоумышленник может запустить удаленный код, отправив POST-запрос в YARN с просьбой запустить новое приложение с помощью команды злоумышленника".
Команда предназначена для очистки каталога /tmp от всего существующего содержимого, извлечения файла с именем "dca" с удаленного сервера и его выполнения с последующим повторным удалением всех файлов в каталоге /tmp.
Выполняемая полезная нагрузка представляет собой упакованный двоичный файл ELF, который действует как загрузчик для извлечения двух руткитов и двоичного файла майнера криптовалюты Monero. Стоит отметить, что различные злоумышленники, включая Кинсинг, прибегли к использованию руткитов, чтобы скрыть присутствие процесса майнинга.
Для обеспечения устойчивости создается задание cron для загрузки и выполнения сценария оболочки, который развертывает двоичный файл 'dca'. Дальнейший анализ инфраструктуры субъекта угрозы показывает, что промежуточный сервер, используемый для получения загрузчика, был зарегистрирован 31 октября 2023 года.
В качестве мер по смягчению последствий организациям рекомендуется развертывать агентные решения безопасности для обнаружения криптомайнеров, руткитов, запутанных или упакованных двоичных файлов, а также другого подозрительного поведения во время выполнения.
