鏈聞消息,騰訊安全威脅情報中心檢測到有攻擊者利用 Hadoop Yarn REST API 未授權命令執行漏洞攻擊雲上主機,攻擊成功後執行惡意命令,向系統植入挖礦木馬、IRC BotNet 後門、DDoS 攻擊木馬,入侵成功後還會使用 SSH 爆破的方式進一步向目標網絡橫向擴散。 攻擊者入侵成功後,會清理系統進程和文件,以清除其他資源佔用較高的進程(可能是可疑挖礦木馬,也可能是正常服務),以便最大化利用系統資源。入侵者同時會配置免密登錄後門,以方便進行遠程控制,入侵者安裝的 IRC 後門、DDoS 木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。

通過對木馬家族進行關聯分析,發現本次攻擊活動與永恆之藍下載器木馬關聯度極高,攻擊者使用的攻擊套件與 Outlaw 殭屍網絡木馬高度一致,但尚不能肯定攻擊活動由這兩個團伙發起。 建議用戶儘快修復 Hadoop Yarn REST API 未授權命令執行漏洞,避免採用弱口令。