Aqua Security раскрывает слабые места в популярных продуктах Apache.
Исследователи в области кибербезопасности обнаружили новый тип атаки, эксплуатирующей недостатки в конфигурации программного обеспечения Hadoop и Flink от Apache для развёртывания майнеров криптовалют в целевых системах.
«Эта атака особенно интересна из-за использования злоумышленниками упаковщиков и руткитов для скрытия вредоносного ПО», — отмечают исследователи из Aqua Security в своём отчёте , опубликованном 8 января. Вредоносное ПО удаляет содержимое определённых директорий и изменяет системные конфигурации для уклонения от обнаружения.
Цепочка заражения Apache Hadoop использует неправильную конфигурацию менеджера ресурсов YARN (Yet Another Resource Negotiator), который отвечает за отслеживание ресурсов в кластере и планирование приложений.
В частности, данная недоработка позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, в зависимости от привилегий пользователя на узле, где выполняется код.
Аналогичные атаки на Apache Flink также нацелены на неправильную конфигурацию, которая позволяет удалённому атакующему выполнять код без какой-либо аутентификации.
Эти уязвимости отнюдь не новы и ранее уже эксплуатировались группами, мотивированными финансовой выгодой, такими как TeamTNT, известной своими атаками на Docker и Kubernetes с целью криптоджекинга и других вредоносных действий.
Тем не менее, последние атаки примечательны использованием руткитов для скрытия процессов майнинга криптовалют после первоначального проникновения в приложения Hadoop и Flink.
Сначала злоумышленник отправляет неаутентифицированный запрос на развёртывание нового приложения, а затем отправляет POST-запрос к YARN с просьбой открыть это новое приложение с определённой командой.
Команда предназначена для очистки директории /tmp от всех существующих файлов, загрузки файла под названием «dca» с удалённого сервера и его выполнения, а затем повторного удаления всех файлов в директории /tmp.
Запущенный код представляет собой упакованный ELF-бинарник, который загружает два руткита и бинарный файл майнера Monero. Для достижения постоянства атаки создаётся cron-задание для загрузки и выполнения шелл-скрипта, который развёртывает бинарный файл «dca».
Анализ инфраструктуры злоумышленника показывает, что сервер для скачивания полезной нагрузки был зарегистрирован 31 октября 2023 года.
В качестве мер по смягчению рисков организациям рекомендуется развёртывать решения безопасности на основе агентов для обнаружения криптомайнеров, руткитов, обфусцированных или упакованных двоичных файлов, а также других подозрительных действий.
Наш канал — питательная среда для вашего интеллекта