Un actor de amenazas se dirige a organizaciones que ejecutan tecnologías de big data Apache Hadoop y Apache Druid con una nueva versión de la botnet Lucifer, una conocida herramienta de malware que combina capacidades de criptojacking y denegación de servicio distribuida (DDoS).
La campaña es un cambio para la botnet, y un análisis de Aqua Nautilus esta semana sugiere que sus operadores están probando nuevas rutinas de infección como precursoras de una campaña más amplia.
Lucifer es un malware que se propaga automáticamente y que los investigadores de Palo Alto Networks informaron por primera vez en mayo de 2020. En ese momento, la compañía describió el amenaza como peligroso malware híbrido que un atacante podría usar para habilitar ataques DDoS o para eliminar XMRig para extraer criptomonedas Monero. Palo Alto dijo que tenía atacantes observados también usando Lucifer para dejar caer las filtraciones de la NSA EternalBlue, EternalRomance y DoublePulsar malware y exploits en los sistemas de destino.
“Lucifer es un nuevo híbrido de criptojacking y variante de malware DDoS que aprovecha viejas vulnerabilidades para propagarse y realizar actividades maliciosas en plataformas Windows”, había advertido Palo Alto en su momento.
Ahora ha vuelto y apunta a servidores Apache. Investigadores de Aqua Nautilus que han estado siguiendo la campaña dijo en un blog esta semana habían contado más de 3.000 ataques únicos dirigidos a los honeypots Apache Hadoop, Apache Druid y Apache Flink de la empresa sólo en el último mes.
Las 3 fases de ataque únicas de Lucifer
La campaña ha estado en marcha durante al menos seis meses, tiempo durante el cual los atacantes han intentado explotar errores de configuración y vulnerabilidades conocidas en las plataformas de código abierto para entregar su carga útil.
Hasta ahora, la campaña ha estado compuesta por tres fases distintas, lo que, según los investigadores, es probablemente una indicación de que el adversario está probando técnicas de evasión de defensa antes de un ataque a gran escala.
“La campaña comenzó en julio dirigida a nuestros honeypots”, dice Nitzan Yaakov, analista de datos de seguridad de Aqua Nautilus. “Durante nuestra investigación, observamos al atacante actualizar técnicas y métodos para lograr el objetivo principal del ataque: extraer criptomonedas”.
Durante la primera etapa de la nueva campaña, los investigadores de Aqua observaron a los atacantes escaneando Internet en busca de instancias de Hadoop mal configuradas. Cuando detectaron una tecnología de programación de trabajos y gestión de recursos del clúster Hadoop YARN (Yet Another Resource Negotiator) mal configurada en el honeypot de Aqua, apuntaron a esa instancia para explotar la actividad. La instancia mal configurada en el honeypot de Aqua tenía que ver con el administrador de recursos de Hadoop YARN y les dio a los atacantes una forma de ejecutar código arbitrario a través de una solicitud HTTP especialmente diseñada.
Los atacantes aprovecharon la mala configuración para descargar Lucifer, ejecutarlo y almacenarlo en el directorio local de la instancia de Hadoop YARN. Luego se aseguraron de que el malware se ejecutara de forma programada para garantizar la persistencia. Aqua también observó al atacante borrando el binario de la ruta donde se guardó inicialmente para intentar evadir la detección.
En la segunda fase de los ataques, los actores de amenazas una vez más apuntaron a configuraciones erróneas en la pila de big data de Hadoop para intentar obtener acceso inicial. Esta vez, sin embargo, en lugar de arrojar un solo binario, los atacantes arrojaron dos en el sistema comprometido: uno que ejecutó a Lucifer y el otro que aparentemente no hizo nada.
En la tercera fase, el atacante cambió de táctica y, en lugar de apuntar a instancias de Apache Hadoop mal configuradas, comenzó a buscar hosts Apache Druid vulnerables. La versión de Aqua del servicio Apache Druid en su honeypot no tenía parches. CVE-2021-25646una vulnerabilidad de inyección de comandos en ciertas versiones de la base de datos de análisis de alto rendimiento. La vulnerabilidad brinda a los atacantes autenticados una forma de ejecutar código JavaScript definido por el usuario en los sistemas afectados.
El atacante aprovechó la falla para inyectar un comando para descargar dos archivos binarios y otorgarles permisos de lectura, escritura y ejecución para todos los usuarios, dijo Aqua. Uno de los binarios inició la descarga de Lucifer, mientras que el otro ejecutó el malware. En esta fase, la decisión del atacante de dividir la descarga y ejecución de Lucifer entre dos archivos binarios parece haber sido un intento de eludir los mecanismos de detección, señaló el proveedor de seguridad.
Cómo evitar un ciberataque infernal a Apache Big Data
Antes de una posible ola de ataques contra instancias de Apache, las empresas deben revisar sus huellas para detectar errores de configuración comunes y asegurarse de que todos los parches estén actualizados.
Más allá de eso, los investigadores señalaron que “se pueden identificar amenazas desconocidas escaneando sus entornos con soluciones de detección y respuesta en tiempo de ejecución, que pueden detectar comportamientos excepcionales y alertar sobre ellos”, y que “es importante ser cauteloso y consciente de las amenazas existentes mientras utilizando bibliotecas de código abierto. Cada biblioteca y código deben descargarse de un distribuidor verificado”.
Fuente Original darkreading
