Hadoop и Flink стали целью для криптоджекинга: какие уязвимости используют злоумышленники для атаки

Исследователи в области кибербезопасности обнаружили новый тип атаки, эксплуатирующей недостатки в конфигурации программного обеспечения Hadoop и Flink от Apache для развёртывания майнеров криптовалют в целевых системах.

«Эта атака особенно интересна из-за использования злоумышленниками упаковщиков и руткитов для скрытия вредоносного ПО», — отмечают исследователи из Aqua Security в своём отчёте , опубликованном 8 января. Вредоносное ПО удаляет содержимое определённых директорий и изменяет системные конфигурации для уклонения от обнаружения.

Цепочка заражения Apache Hadoop использует неправильную конфигурацию менеджера ресурсов YARN (Yet Another Resource Negotiator), который отвечает за отслеживание ресурсов в кластере и планирование приложений.

В частности, данная недоработка позволяет удалённому неаутентифицированному злоумышленнику выполнять произвольный код с помощью специально созданного HTTP-запроса, в зависимости от привилегий пользователя на узле, где выполняется код.

Аналогичные атаки на Apache Flink также нацелены на неправильную конфигурацию, которая позволяет удалённому атакующему выполнять код без какой-либо аутентификации.

Эти уязвимости отнюдь не новы и ранее уже эксплуатировались группами, мотивированными финансовой выгодой, такими как TeamTNT, известной своими атаками на Docker и Kubernetes с целью криптоджекинга и других вредоносных действий.

Тем не менее, последние атаки примечательны использованием руткитов для скрытия процессов майнинга криптовалют после первоначального проникновения в приложения Hadoop и Flink.

Сначала злоумышленник отправляет неаутентифицированный запрос на развёртывание нового приложения, а затем отправляет POST-запрос к YARN с просьбой открыть это новое приложение с определённой командой.

Команда предназначена для очистки директории /tmp от всех существующих файлов, загрузки файла под названием «dca» с удалённого сервера и его выполнения, а затем повторного удаления всех файлов в директории /tmp.

Запущенный код представляет собой упакованный ELF-бинарник, который загружает два руткита и бинарный файл майнера Monero. Для достижения постоянства атаки создаётся cron-задание для загрузки и выполнения шелл-скрипта, который развёртывает бинарный файл «dca».

Анализ инфраструктуры злоумышленника показывает, что сервер для скачивания полезной нагрузки был зарегистрирован 31 октября 2023 года.

В качестве мер по смягчению рисков организациям рекомендуется развёртывать решения безопасности на основе агентов для обнаружения криптомайнеров, руткитов, обфусцированных или упакованных двоичных файлов, а также других подозрительных действий.