Многоступенчатая атака обеспечивает бэкдор BillGates/Setag для превращения серверов Elasticsearch в ботнет DDoS

F

FRANKENSTEIN

Elasticsearch.png

Новая многоступенчатая атака с использованием серверов Elasticsearch, использующих старую уязвимость unpatched для вызова оболочки с обработанным запросом и закодированными командами Java. Атака направлена на доставку BillGates / Setag Backdoor против уязвимых серверов Elasticsearch.


Атака нацелена на уже исправленную уязвимость в Groovy scripting engine (версии 1.3.0 – 1.3.7 и 1.4.0-1.4.2), и уязвимость можно отслеживать как CVE-2015-1427, что позволяет злоумышленникам уклоняться от песочницы и выполнять произвольные команды оболочки с помощью созданного скрипта.

Исследователи безопасности из TrendMicro определили атаку “ " участники угрозы, стоящие за этой атакой, использовали кодировку URL-адресов, организовали, где сценарии извлекаются, и скомпрометированные законные веб-сайты могут означать, что они просто тестируют свои инструменты взлома или подготавливают свою инфраструктуру перед установкой фактических атак.”

Цепочка Заражения-Серверы Elasticsearch
Атака начинается с поиска общедоступных баз данных/серверов Elasticsearch и включает в себя два этапа. Как только общедоступный сервер найден, он “вызывает оболочку с обработанным злоумышленником поисковым запросом с закодированными командами Java”.

Если сервер уязвим, то запрос будет выполнен успешно и загружает сценарий первого этапа, который пытается остановить запуск брандмауэра и загружает второй этап полезной нагрузки с помощью команды curl или wget.

На втором этапе сценария, аналогичном первому, предпринимается попытка остановить брандмауэр, а также определенные файлы сценариев, связанные с майнерами криптовалют, различными конфигурационными файлами и другими нежелательными процессами для запуска его работы.

Кроме того, он удаляет начальные стадии инфекции, полезные нагрузки, вероятно, будут загружены с зараженных веб-сайтов, чтобы избежать обнаружения.

"Более пристальный взгляд на двоичные файлы показал вариант бэкдора, который крадет системную информацию и может запускать DDoS-атаки. Образцы имеют признаки вредоносного ПО BillGates.”

Вредоносная программа была впервые обнаружена в 2014 году и используется для запуска DDoS-атак, инструментарий включает в себя ICMP flood, TCP flood, UDP flood, SYN flood, HTTP Flood (Layer7) и DNS query-of-reflection flood.

Основываясь на отчете TrendMicro , “эта вредоносная программа также заменяет системные папки затронутых систем (что позволяет просматривать информацию о системе или устройстве) своей копией и переносит их в каталог /usr/bin/dpkgd.”

Indicators of Compromise (IoCs):

Код:
8ebd963f86ba62f45b936f6d6687ccb1e349a0f8a6cc19286457895c885695c8 (.pprt)
cfe3dccf9ba5a17e410e8e7cf8d0ff5c1b8688f99881b53933006250b6421468 (.ppol)

Related domains/URLs:

hxxps://crazydavesslots[.]com/[.]ppol
hxxp://aduidc[.]xyz