Киберпреступники атакуют кластеры Elasticsearch

Усилились атаки на кластеры Elasticsearch со стороны сразу шести разных киберпреступных групп.

Исследователи безопасности Cisco Talos предупредили о всплеске числа атак на незащищенные кластеры Elasticsearch со стороны шести разных киберпреступных групп. Злоумышленники эксплуатируют известные уязвимости в версии Elasticsearch 1.4.2 и более ранних и с помощью скриптов заражают системы вредоносным ПО и майнерами криптовалют. Речь идет об уязвимостях CVE-2014-3120 и CVE-2015-1427, позволяющих отправлять скрипты поисковым запросам. С помощью эксплоита для уязвимости CVE-2015-1427 наиболее активная киберпреступная группировка пытается загрузить две полезные нагрузки. Различными способами обе полезные нагрузки загружают один и тот же bash-скрипт – скорее всего, таким образом злоумышленники хотят расширить круг атакуемых платформ.

Загруженный bash-скрипт пытается отключить решения безопасности и отключает другие запущенные на хосте вредоносные процессы, в том числе криптовалютные майнеры, а затем загружает свой ключ RSA в файл authorized_keys. Скрипт закрепляется на атакуемой системе и позволяет злоумышленникам загружать на нее криптовалютные майнеры и их конфигурационные файлы.

Скрипт также загружает UPX-архив с исполняемым файлом ELF, содержащим эксплоиты для уязвимостей CVE-2018-7600 в Drupal, CVE-2017-10271 в Oracle WebLogic и CVE-2018-1273 в Spring Data Commons. Как правило, эксплоиты обслуживаются через HTTPS.

Вторая по активности группировка эксплуатирует уязвимость CVE-2014-3120 для доставки вредоносного ПО Bill Gates, включающего зараженные системы в одноименный DDoS-ботнет. Третья группировка использует данную уязвимость для загрузки файла LinuxT с файлового HTTP-сервера, однако на сегодняшний день файл на сервере отсутствует. По мнению исследователей, вероятнее всего, файл является трояном Spike для атак на архитектуру x86, MIPS и ARM.

Эксплоиты, используемые остальными тремя группировками, не доставляют никакого вредоносного ПО.