Attackers Target Apache Hadoop And Flink To Deliver Cryptominers
2024/01/15 SecurityAffairs — Apache の Hadoop と Flink を標的とする新たな攻撃が、サイバーセキュリティ企業 Aqua の研究者たちにより発見された。この攻撃は、暗号通貨マイナーの展開を目的とし、Apache の Hadoop/Flink のミスコンフィグレーションを悪用するものだ。一連の攻撃において、とりわけ興味深いのは、脅威アクターたちがマルウェアを隠すためにパッカーやルートキットを使用している点だと、研究者たちは述べている。
Apache Hadoop は、コモディティ・ハードウェアのクラスタを使って大規模なデータを分散保存/処理するために設計されたオープンソースのソフトウェア・フレームワークである。Apache Software Foundation の取り組みの一環として、ビッグデータ処理や並列処理タスクなどで広く利用されている。
Apache Flink は、Apache Software Foundation により開発された、オープンソースの統合ストリーム処理およびバッチ処理フレームワークである。
攻撃の手法は非常にシンプルだ。攻撃者は、Hadoop YARN ResourceManager のミスコンフィグレーションを悪用して、他の2つのバイナリ (ルートキット) をダウンロードする。そして、ディスクに Monero クリプトマイナを書き込むバイナリ dca をドロップし、実行する。
続いて、攻撃者は、新しいアプリケーションをデプロイするために認証されていないリクエストを送信する。その攻撃者のコマンドにより、新しいアプリケーションの起動を要求する POST リクエストを YARN に送信することで、リモート・コード実行を試みる。
このミスコンフィグにより、認証されていないリモートの脅威アクターは、特別に細工された HTTP リクエストを通じて任意のコード実行が可能になる。つまり、コードが実行されるノードのユーザーの特権に応じて、攻撃者は任意のコードを実行できる。
Apache Flink に対する攻撃手法もよく似ており、ミスコンフィグを悪用することで、リモートの認証されていない攻撃者によるコード実行を可能にする。
Aqua のレポートには、「この攻撃は、パックされた ELF バイナリの使用や、通常のセキュリティ・ソリューションでは検出されない、ルートキットの使用などの高度な回避テクニックが用いられている。それらのマルウェアは、特定のディレクトリの内容を削除し、システム設定を変更して検知を回避する。持続性については、cron ジョブを操作し、’dca’ バイナリを展開するスクリプトをダウンロード/実行することで達成している。攻撃者が使用するインフラには、特定の IP アドレスとドメインが含まれる」と詳述されている。
同レポートには、この攻撃に関する侵害の兆候 (IoC:Indications of Compromise) も含まれている。
このインシデントですが、マルウェアの難読化のために、パッカーやルートキットが使用されると解説されています。マルウェア自身のステルス化も進んでいますが、それを、さらに補完するテクニックも、どんどんと開発されているようです。それにしても、Hadoop のロゴを久々に見ました。Wikipedia で調べてみたら、2006年にイニシャル・リリースだと記されていました。その頃の Google 検索の基盤だった MapReduce のオープンスース版であり、NY で開催されたカンファレンスの登壇者たちが、”ペタ・ペタ・ペタ・ペタ” を連発したいたことを思い出しました。
IoT OT Security News 
You must be logged in to post a comment.