Cybersecurity-onderzoekers hebben een nieuwe aanval geïdentificeerd die misbruik maakt van verkeerde configuraties in Apache Hadoop en Flink om cryptocurrency-miners in gerichte omgevingen in te zetten.
“Deze aanval is bijzonder intrigerend vanwege het gebruik van packers en rootkits door de aanvaller om de malware te verbergen”, zeiden Aqua-beveiligingsonderzoekers Nitzan Yaakov en Assaf Morag in een analyse die eerder deze week werd gepubliceerd. “De malware verwijdert de inhoud van specifieke mappen en past systeemconfiguraties aan om detectie te omzeilen.”
De infectieketen die zich op Hadoop richt, maakt gebruik van een verkeerde configuratie in de ResourceManager van YARN (Yet Another Resource Negotiator), die verantwoordelijk is voor het volgen van bronnen in een cluster en het plannen van applicaties.
Concreet kan de verkeerde configuratie worden uitgebuit door een niet-geverifieerde, externe bedreigingsacteur om willekeurige code uit te voeren door middel van een vervaardigd HTTP-verzoek, afhankelijk van de rechten van de gebruiker op het knooppunt waar de code wordt uitgevoerd.
De aanvallen gericht op Apache Flink zijn eveneens gericht op een verkeerde configuratie waardoor een aanvaller op afstand code kan uitvoeren zonder enige authenticatie.
Deze verkeerde configuraties zijn niet nieuw en zijn in het verleden uitgebuit door financieel gemotiveerde groepen zoals TeamTNT, dat bekend staat om zijn geschiedenis van het aanvallen van Docker- en Kubernetes-omgevingen met als doel cryptojacking en andere kwaadaardige activiteiten.
Maar wat de nieuwste reeks aanvallen opmerkelijk maakt, is het gebruik van rootkits om cryptomining-processen te verbergen nadat ze een eerste voet aan de grond hadden gekregen in Hadoop- en Flink-applicaties.
“De aanvaller stuurt een niet-geverifieerd verzoek om een nieuwe applicatie te implementeren”, leggen de onderzoekers uit. “De aanvaller kan een externe code uitvoeren door een POST-verzoek naar de YARN te sturen, waarin wordt gevraagd de nieuwe applicatie te starten met het commando van de aanvaller.”
De opdracht is speciaal ontwikkeld om alle bestaande inhoud uit de map /tmp te verwijderen, een bestand met de naam “dca” op te halen van een externe server en dit uit te voeren, gevolgd door het opnieuw verwijderen van alle bestanden in de map /tmp.
De uitgevoerde payload is een ingepakt ELF-binair bestand dat fungeert als een downloader om twee rootkits en een binair Monero-cryptocurrency-miner op te halen. Het is de moeite waard erop te wijzen dat verschillende tegenstanders, waaronder Kinsing, hun toevlucht hebben genomen tot het gebruik van rootkits om de aanwezigheid van het mijnbouwproces te verbergen.
Om persistentie te bereiken, wordt een cron-taak gemaakt om een shell-script te downloaden en uit te voeren dat het binaire bestand ‘dca’ implementeert. Uit verdere analyse van de infrastructuur van de bedreiging blijkt dat de staging-server die werd gebruikt om de downloader op te halen, op 31 oktober 2023 was geregistreerd.
Als oplossing wordt aanbevolen dat organisaties agentgebaseerde beveiligingsoplossingen inzetten om cryptominers, rootkits, versluierde of ingepakte binaire bestanden en ander verdacht runtime-gedrag te detecteren.
