Das Lucifer DDoS-Botnetz hat es auf Apache Big-Data-Lösungen abgesehen. Insbesondere sind Apache Hadoop und Apache Druid ins Visier genommen worden. Cyberkriminelle nutzen bestehende Fehlkonfigurationen und Schwachstellen in diesen Diensten, um ihre Angriffe durchzuführen.
Die Angriffskampagne setzt auf eine neue Variante eines bekannten DDoS-Botnetzes, das sich auf anfällige Linux-Systeme konzentriert. Diese werden in Monero Cryptomining-Bots, bekannt als Lucifer, verwandelt. Die Malware-Implementierungsstrategie beinhaltete das Ablegen von zwei Binärdateien auf dem kompromittierten Server, wobei eine die Malware ausführt.
Die Angreifer nutzten auch die Schwachstelle CVE-2021-25646 aus, um die Lucifer-Malware auf Apache Druid-Servern herunterzuladen und auszuführen. Das Bedrohungsakteur zielt auf Organisationen ab, die Apache Hadoop- und Apache Druid-Technologien für Big Data einsetzen, mit einer neuen Version des Lucifer-Botnetzes, das Cryptojacking- und DDoS-Fähigkeiten kombiniert. Die Kampagne stellt eine Abweichung für das Botnetz dar, und seine Betreiber testen neue Infektionsroutinen als Vorläufer für eine umfassendere Kampagne.
Apache Hadoop-basierte Batch-Aufnahme in Apache Druid wird über eine Hadoop-Aufnahmeaufgabe unterstützt. Diese Aufgaben können an eine laufende Instanz eines Druid-Overlords gesendet werden. Apache Druid ist ein Open-Source-Analyse-Datenspeicher, der für Business-Intelligence (OLAP)-Abfragen zu Ereignisdaten entwickelt wurde. Es bietet eine geringe Latenzzeit (Echtzeit) bei der Datenaufnahme, flexible Datenexploration und schnelle Datenaggregation.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: