Spinning YARN – Uusi Linux-haittaohjelmakampanja kohdistuu Dockeriin, Apache Hadoopiin, Redisiin ja Confluenceen
Cado Security Labsin tutkijat ovat äskettäin kohdanneet nousevan haittaohjelmakampanjan, joka kohdistuu väärin konfiguroituihin palvelimiin, joissa pyörii seuraavia web-palveluja: Apache Hadoop, YARN, Docker, Confluence ja Redis. Kampanja hyödyntää useita ainutlaatuisia ja raportoimattomia kuormia, mukaan lukien neljä Golang-binaaria, jotka toimivat työkaluina isäntien löytämiseen ja tartuttamiseen, joissa pyörii edellä mainitut palvelut. Hyökkääjät käyttävät näitä työkaluja hyväkseen lähettääkseen hyväksikäyttökoodia, hyödyntäen yleisiä väärinkonfigurointeja ja hyödyntäen n-päivän haavoittuvuutta, suorittaakseen etäkoodin suorittamisen (RCE) hyökkäyksiä ja tartuttaakseen uusia isäntiä.
Kun alkuperäinen pääsy on saavutettu, käytetään joukkoa komentosarjoja ja yleisiä Linux-hyökkäystekniikoita toimittamaan kryptovaluutan louhija, käynnistämään käänteinen kuori ja mahdollistamaan pysyvä pääsy kompromissoiduille isännille.
Cado Security Labs researchers have recently encountered an emerging malware campaign targeting misconfigured servers running the following web-facing services: Apache Hadoop, YARN, Docker, Confluence and Redis. The campaign utilises a number of unique and unreported payloads, including four Golang binaries, that serve as tools to automate the discovery and infection of hosts running the above services. The attackers leverage these tools to issue exploit code, taking advantage of common misconfigurations and exploiting an n-day vulnerability, to conduct Remote Code Execution (RCE) attacks and infect new hosts. Once initial access is achieved, a series of shell scripts and general Linux attack techniques are used to deliver a cryptocurrency miner, spawn a reverse shell and enable persistent access to the compromised hosts
