Эксперты Arbor Networks (собственность NETSCOUT) наблюдают всплеск атак на уязвимые сервисы Hadoop YARN с целью засева очередной итерации DDoS-бота Mirai. Как показал анализ, новая угроза по поведению схожа с нацеленным на IoT оригиналом, но способна работать на быстродействующих Linux-машинах, используемых в сфере Big Data.

Подобные боты больше не нужно адаптировать к разным архитектурам — x86, x64, ARM, MIPS, ARC. Их цели работают только на базе x86. Примечательно, что Mirai-подобный зловред не сам применяет эксплойт, чтобы распространяться дальше по сети, это делают его операторы с помощью кастомных инструментов — вручную.

Используемая ими уязвимость в Hadoop YARN, не имеющая CVE-идентификатора, была обнародована в 2016 году. Она позволяет выполнять шелл-команды без аутентификации. Эту брешь используют также XBash и DemonBot, а к началу октября такую возможность обрел и клон Mirai, известный как Sora.

Наблюдаемая Arbor активность в ноябре заметно возросла. Исследователи ежедневно фиксируют десятки тысяч попыток эксплойта. Примечательно, что в атаках принимает участие небольшое количество IP-адресов, разбросанных по всему миру, — эксперты выявили около 40 таких источников. Это и послужило основанием для вывода, что злоумышленников немного; все они сканируют Интернет в поисках уязвимых сервисов, пригодных для эксплойта.

В случае успеха на машину со стороннего сервера загружается зловред. В этом месяце в Arbor зарегистрировали 225 уникальных образцов полезной нагрузки. Больше половины бинарных кодов поступали из одного и того же источника; около десятка из них эксперты уверенно идентифицировали как варианты Mirai. При этом ни один из загружаемых образцов не пытался распространяться самостоятельно.

После запуска вредоносная программа ведет себя, как типовой IoT-бот, — пытается подобрать учетные данные к Telnet-сервису. Эта функция выполняется даже в тех случаях, когда Telnet на сервере отсутствует или неактивен.

Один из образцов выдавал себя за VPNFilter — продвинутый IoT-бот, популяция которого к концу мая превысила 500 тысяч. Однако анализ показал, что никаких оснований для присваивания чужого имени у вирусописателей не было. Этот зловред, как и его x86-собратья, лишь усердно перебирает дефолтные пары логин-пароль и, обнаружив совпадение, сообщает о находке в центр управления.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости