Компания ARMO CADR обнаружила несколько операций атаки на криптомайнеры, использующие уязвимость CVE-2021-25646 в базе данных Apache Druid. Исследователи создали Ханипот в виде рабочей нагрузки Kubernetes, чтобы привлечь злоумышленников.
Описание
Исследователи обнаружили, что злоумышленники активно искали уязвимые системы и использовали разные командно-контрольные серверы, варианты вредоносного ПО и методы эксплуатации. Было выявлено, что первая кампания атаки началась с автоматического сканирования уязвимых установок Apache Druid, после чего был выполнен эксплойт и произведена серия команд для проверки успешности эксплойтации. Дальнейший анализ позволил исследователям выявить китайские веб-сайты и репозитории GitHub, которые документировали эксплуатацию данной уязвимости.
Затем, после некоторой паузы, была выполнена настоящая атака, в результате которой были загружены и установлены вредоносные программы для криптомайнинга. Производные файлы были скачаны с сервера C2, получили права на выполнение и запущены на зараженной системе.
Обе атакующие кампании закрепились на первых порах благодаря использованию известной уязвимости в Apache Druid: CVE-2021-25646. Этот CVE позволяет неавторизованному удаленному выполнению кода, используя возможность консоли Druid выполнять пользовательские выражения JavaScript .
Индикаторы компрометации
IPv4
- 194.38.23.2
MD5
- 0e3deb109d9424b5204582e1daf44307
- 0e5e46802794a6b50014ee882aaae613
- 2bb292f0f9d28c5865cdfe601a082db6
- 4e0d07e6e4b8d9a607013ccae5c6eb14
