Feltörekvő Linux malware: “Spinning Yarn”

A Cado Security Labs azonosított egy új, “Spinning Yarn” nevű Linux malware kampányt, amely kifejezetten a népszerű webes szolgáltatásokat, például az Apache Hadoop YARN-t, a Dockert, a Confluence-t és a Redist futtató, rosszul konfigurált szervereket célozza. A kampány kihasználja a szervezetek IT-infrastruktúrájának ezen széles körben használt összetevőiben található sebezhetőségeket és félrekonfigurációkat, jelentős fenyegetést jelentve a szerverekre és a kritikus rendszerekre. Ezen alkalmazások veszélyeztetésével a támadók jogosulatlan hozzáférést szerezhetnek, érzékeny adatokat lophatnak, megzavarhatják a működést, vagy zsarolóprogramokat telepíthetnek. A kártevő kampány egyedi hasznos terheléseket, köztük Golang binárisokat használ a hosztok felderítésének és megfertőzésének automatizálására, kihasználva a Confluence-t a távoli kódvégrehajtási (RCE) támadások indítására és új hosztok megfertőzésére.

A Spinning Yarn mögött álló fenyegető szereplők különböző technikákat használnak ki, többek között a Confluence CVE-2022-26134 sebezhetőségének kihasználását és egy konténer telepítését a Docker kompromittálására. A kampányban héjszkriptek, szabványos Linux támadási technikák és felhasználói módú rootkitek is szerepelnek, hogy kriptopénz-bányászt szállítsanak, fordított héjat indítsanak, és tartós hozzáférést hozzanak létre a megtámadott hosztokhoz. A felderítés elkerülése érdekében a támadók több felhasználói módú rootkitet is bevetnek, ami a megközelítésük kifinomultságát mutatja. Az ilyen kampányok által jelentett kockázatok csökkentése érdekében a szervezeteknek ajánlott a szoftverek rendszeres frissítése, erős jelszavak használata, az alkalmazottak oktatása a legjobb kiberbiztonsági módszerekkel kapcsolatban.

A kihasznált CVE-2022-26134 sérülékenység esetleges kihasználásának felismeréséhez a DarkTrace blogja ad iránymutatást.

(forrás)