Cybersicherheitsforscher haben einen neuen Angriff identifiziert, der die Fehlkonfigurationen in Apache Hadoop und Flink ausnutzt, um Kryptowährungsminer in gezielten Umgebungen zu installieren. Das Besondere an diesem Angriff ist die Verwendung von Packern und Rootkits, um die Malware zu verbergen. Die Malware löscht Inhalte bestimmter Verzeichnisse und ändert Systemkonfigurationen, um unentdeckt zu bleiben. Der Angriff auf Hadoop nutzt eine Fehlkonfiguration im YARN-ResourceManager aus, der für die Ressourcenverfolgung und -planung in einem Cluster verantwortlich ist. Durch eine speziell entwickelte HTTP-Anfrage kann ein nicht authentifizierter, entfernter Angreifer beliebigen Code ausführen. Ähnliche Angriffe auf Apache Flink zielen ebenfalls auf eine Fehlkonfiguration ab, die einem entfernten Angreifer die Ausführung von Code ohne Authentifizierung ermöglicht. Diese Fehlkonfigurationen sind nicht neu und wurden in der Vergangenheit bereits von finanziell motivierten Gruppen wie TeamTNT ausgenutzt. Was diese Angriffe jedoch besonders macht, ist die Verwendung von Rootkits, um die Kryptomining-Prozesse zu verstecken, nachdem eine initielle Schwachstelle in den Hadoop- und Flink-Anwendungen gefunden wurde. Um die Persistenz zu gewährleisten, wird ein Cron-Job erstellt, um ein Shell-Skript herunterzuladen und auszuführen, das den „dca“-Binary installiert. Zur Abwehr wird empfohlen, agentenbasierte Sicherheitslösungen einzusetzen, um Kryptominer, Rootkits, obfusierte oder gepackte Binärdateien und andere verdächtige Laufzeitverhalten zu erkennen.