Исследователи Aqua Security выявилиновую вредоносную кампанию, направленную против стека больших данных Apache, в частности Hadoop, Druid и Flink. Злоумышленники используют уязвимости и неправильные настройки в облачных Honeypot для запуска этих атак. Лишь за последний месяц их было зафиксировано более трёх тысяч.
Apache – известный фонд открытого кода, поддерживающий множество проектов. На официальном сайте Apache сообщается о более 320 активных проектах и 8 000 участниках.
Атакующие применяют новый вариант известного с 2020 года DDoS-ботнета Lucifer, нацеленный на уязвимые Linux-системы для превращения их в ботов для майнинга Monero.
Для запуска атак в рассмотренной кампании используются неправильные настройки и старые уязвимости, включая CVE-2021-25646 для Apache Druid, позволяющая удалённому неаутентифицированному пользователю выполнить произвольный JavaScript-код с правами сервера.
Рассмотренная исследователями кампания состоит из нескольких этапов: эксплуатация уязвимостей или неправильных настроек, загрузка и выполнение вредоносного ПО Lucifer, а затем загрузка и выполнение основного зловредного компонента – майнера XMRig.
За шесть месяцев наблюдения кампания незначительно эволюционировала, включая изменения в механизмах доставки и выполнения вредоносного ПО.
Для защиты своей компании важно своевременно обновлять системы, правильно их настраивать и следовать рекомендациям по безопасности. Также далеко не лишним будет использовать решения для обнаружения и реагирования в реальном времени, проявлять повышенную осторожность при использовании открытых библиотек, а также выделять достаточно времени и ресурсов на обучение сотрудников.
Рассмотренная вредоносная операция выявляет необходимость внимательного отношения к кибербезопасности в среде использования открытого программного обеспечения Apache, а также подчёркивает важность комплексной защиты и соблюдения лучших практик по обеспечению цифровой обороны.