Apache на мушке хакеров: 3000 атак на Hadoop, Druid и Flink за последний месяц

Исследователи Aqua Security выявили новую вредоносную кампанию, направленную против стека больших данных Apache, в частности Hadoop, Druid и Flink. Злоумышленники используют уязвимости и неправильные настройки в облачных Honeypot для запуска этих атак. Лишь за последний месяц их было зафиксировано более трёх тысяч.

Apache — известный фонд открытого кода, поддерживающий множество проектов. На официальном сайте Apache сообщается о более 320 активных проектах и 8 000 участниках.

Атакующие применяют новый вариант известного с 2020 года DDoS-ботнета Lucifer, нацеленный на уязвимые Linux-системы для превращения их в ботов для майнинга Monero.

Для запуска атак в рассмотренной кампании используются неправильные настройки и старые уязвимости, включая CVE-2021-25646 для Apache Druid, позволяющая удалённому неаутентифицированному пользователю выполнить произвольный JavaScript-код с правами сервера.

Рассмотренная исследователями кампания состоит из нескольких этапов: эксплуатация уязвимостей или неправильных настроек, загрузка и выполнение вредоносного ПО Lucifer, а затем загрузка и выполнение основного зловредного компонента — майнера XMRig.

За шесть месяцев наблюдения кампания незначительно эволюционировала, включая изменения в механизмах доставки и выполнения вредоносного ПО.

Для защиты своей организации важно своевременно обновлять системы, правильно их настраивать и следовать рекомендациям по безопасности. Также далеко не лишним будет использовать решения для обнаружения и реагирования в реальном времени, проявлять повышенную осторожность при использовании открытых библиотек, а также выделять достаточно времени и ресурсов на обучение сотрудников.

Рассмотренная вредоносная операция выявляет необходимость внимательного отношения к кибербезопасности в среде использования открытого программного обеспечения Apache, а также подчёркивает важность комплексной защиты и соблюдения лучших практик по обеспечению цифровой обороны.