Pesquisadores de cibersegurança identificaram um novo ataque que explora configurações incorretas no Apache Hadoop e Flink para implementar mineradores de criptomoedas em ambientes alvo.
"Esse ataque é particularmente intrigante devido ao uso de empacotadores e rootkits pelo atacante para ocultar o malware", disseram os pesquisadores de segurança da Aqua, Nitzan Yaakov e Assaf Morag, em uma análise publicada no início desta semana.
"O malware exclui conteúdos de diretórios específicos e modifica configurações do sistema para evitar detecção."
A cadeia de infecção que visa o Hadoop explora uma configuração incorreta no ResourceManager do YARN (Yet Another Resource Negotiator), que é responsável por rastrear recursos em um cluster e agendar aplicações.
Especificamente, a configuração incorreta pode ser explorada por um ator de ameaça remota não autenticado para executar código arbitrário por meio de uma solicitação HTTP elaborada, sujeito aos privilégios do usuário no nó onde o código é executado.
Os ataques direcionados ao Apache Flink, da mesma forma, visam uma configuração incorreta que permite a um invasor remoto realizar a execução de código sem qualquer autenticação.
Esses erros de configuração não são inéditos e já foram explorados no passado por grupos motivados financeiramente, como o TeamTNT, conhecido por seu histórico de atacar ambientes Docker e Kubernetes com o objetivo de cripto-mineração e outras atividades maliciosas.
Mas o que torna o último conjunto de ataques notável é o uso de rootkits para ocultar processos de mineração de criptomoedas após obter um acesso inicial às aplicações Hadoop e Flink.
"O atacante envia uma solicitação não autenticada para implementar uma nova aplicação", explicaram os pesquisadores.
"O atacante consegue executar um código remoto enviando uma solicitação POST ao YARN, solicitando o lançamento da nova aplicação com o comando do atacante."
O comando é feito sob medida para limpar o diretório /tmp de todo o conteúdo existente, buscar um arquivo chamado "dca" em um servidor remoto e executá-lo, seguido pela exclusão de todos os arquivos no diretório /tmp novamente.
O payload executado é um binário ELF compactado que atua como um downloader para recuperar dois rootkits e um binário minerador de criptomoeda Monero.
Vale destacar que vários adversários, incluindo o Kinsing, recorrem ao uso de rootkits para ocultar a presença do processo de mineração.
Para alcançar persistência, um job cron é criado para baixar e executar um script shell que implanta o binário 'dca'.
Análises adicionais da infraestrutura do ator da ameaça revelam que o servidor de preparação usado para buscar o downloader foi registrado em 31 de outubro de 2023.
Como medidas de mitigação, recomenda-se que as organizações implementem soluções de segurança baseadas em agentes para detectar criptominadores, rootkits, binários ofuscados ou compactados, bem como outros comportamentos suspeitos em tempo real.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...