Aqua Security 研究人员发现了一个针对Apache大数据堆栈 的新恶意软件活动，特别是 Hadoop、Druid 和 Flink。攻击者利用云蜜罐中的漏洞和错误配置来发起这些攻击。仅在上个月，就记录了三千多起。

Apache 是一个著名的开源基金会，支持许多项目。Apache 官方网站报告了超过 320 个活跃项目和 8,000 名贡献者。

攻击者正在使用自 2020 年以来已知的Lucifer DDoS僵尸网络的新变体，针对易受攻击的 Linux 系统，将其转变为门罗币挖矿机器人。

为了发起攻击，该活动使用了不正确的设置和旧漏洞，包括 Apache Druid 的CVE-2021-25646 ，它允许未经身份验证的远程用户使用服务器权限执行任意 JavaScript 代码。

研究人员检查的活动包括几个阶段：利用漏洞或不正确的设置，下载并执行 Lucifer 恶意软件，然后下载并执行主要恶意组件 – XMRig 矿工。

在六个月的观察中，该活动略有变化，包括恶意软件的交付和执行机制的变化。

为了保护您的组织，保持系统最新、正确配置并遵循安全最佳实践非常重要。使用实时检测和响应解决方案，在使用开源库时更加谨慎，并投入足够的时间和资源进行员工培训也是一个好主意。

这种恶意操作凸显了在开源 Apache 软件环境中认真关注网络安全的必要性，也凸显了全面安全和遵守数字防御最佳实践的重要性。

文章原文链接:https://www.anquanke.com/post/id/293395