Siber güvenlik araştırmacıları, hedeflenen ortamlara kripto para madencilerini dağıtmak için Apache Hadoop ve Flink’teki yanlış yapılandırmalardan yararlanan yeni bir saldırı tespit etti.
Aqua güvenlik araştırmacıları Nitzan Yaakov ve Assaf Morag, bu hafta başında yayınlanan bir analizde, “Bu saldırı, saldırganın kötü amaçlı yazılımı gizlemek için paketleyiciler ve rootkit kullanması nedeniyle özellikle ilgi çekicidir.” dedi. “Kötü amaçlı yazılım belirli dizinlerin içeriğini siler ve tespit edilmekten kaçınmak için sistem yapılandırmalarını değiştirir.”
Hadoop’u hedef alan enfeksiyon zinciri, bir kümedeki kaynakları izlemekten ve uygulamaları planlamaktan sorumlu olan YARN’ın (Yet Another Resource Negotiator) ResourceManager’ındaki bir yanlış yapılandırmadan yararlanıyor.
Spesifik olarak, yanlış yapılandırma, kimliği doğrulanmamış, uzak bir tehdit aktörü tarafından, kodun yürütüldüğü düğümdeki kullanıcının ayrıcalıklarına bağlı olarak hazırlanmış bir HTTP isteği aracılığıyla rastgele kod yürütmek için kullanılabilir.
Apache Flink’i hedef alan saldırılar da aynı şekilde uzaktaki bir saldırganın herhangi bir kimlik doğrulaması olmadan kod yürütmesine olanak tanıyan bir yanlış yapılandırmayı hedefliyor.
Bu yanlış yapılandırmalar yeni değildir ve geçmişte Docker ve Kubernetes ortamlarını kripto korsanlık ve diğer kötü niyetli faaliyetler amacıyla hedefleme geçmişiyle tanınan TeamTNT gibi finansal motivasyona sahip gruplar tarafından istismar edilmiştir.
Ancak en son saldırı dizisini dikkate değer kılan şey, Hadoop ve Flink uygulamalarında ilk tutunma noktasını elde ettikten sonra kripto madenciliği süreçlerini gizlemek için rootkit’lerin kullanılmasıdır.
Araştırmacılar, “Saldırganın yeni bir uygulamayı dağıtmak için kimliği doğrulanmamış bir istek gönderdiğini” açıkladı. “Saldırgan, YARN’a POST isteği göndererek ve saldırganın komutuyla yeni uygulamanın başlatılmasını talep ederek uzaktan kod çalıştırabilir.”
Komut, /tmp dizinini mevcut tüm içerikten temizlemek, uzak sunucudan “dca” adlı bir dosyayı getirmek ve yürütmek ve ardından /tmp dizinindeki tüm dosyaları bir kez daha silmek için özel olarak tasarlanmıştır.
Yürütülen veri, iki rootkit’i ve bir Monero kripto para madenci ikili dosyasını almak için indirici görevi gören paketlenmiş bir ELF ikili dosyasıdır. Kinsing de dahil olmak üzere çeşitli rakiplerin madencilik sürecinin varlığını gizlemek için rootkit kullanmaya başvurduğunu belirtmekte fayda var.
Kalıcılığı sağlamak için, ‘dca’ ikili dosyasını dağıtan bir kabuk komut dosyasını indirip yürütmek üzere bir cron işi oluşturulur. Tehdit aktörünün altyapısının daha ayrıntılı analizi, indiriciyi getirmek için kullanılan hazırlama sunucusunun 31 Ekim 2023’te kaydedildiğini ortaya koyuyor.
Azaltıcı önlem olarak kuruluşların kripto madencileri, rootkit’leri, gizlenmiş veya paketlenmiş ikili dosyaları ve diğer şüpheli çalışma zamanı davranışlarını tespit etmek için aracı tabanlı güvenlik çözümleri dağıtması önerilir.