Linux用户请注意：“Spinning YARN”恶意软件活动针对的是在Apache Hadoop YARN、Docker、Confluence和Redis上运行的配置错误的服务器。

Cado安全实验室发现了一种名为Spinning Yarn的新兴Linux 恶意软件活动，其目标是运行Apache Hadoop YARN、Docker、Confluence和Redis面向Web服务的配置错误的服务器。

鉴于最近针对Linux设备和服务器的威胁激增，新型Linux恶意软件的出现并不令人意外。就在几天前，一种名为Bifrost RAT的旧Linux恶意软件再次出现，并带有模仿VMware域的新变种。

根据Cado Security在周三发布之前分享的研究报告，Spinning Yarn是一种恶意活动，利用了各行业企业使用的流行Linux软件的弱点。

这些服务是组织IT基础设施中的重要组成部分。Docker对于开发、部署和管理容器化应用程序至关重要。Apache Hadoop允许分布式处理大型数据集。Redis是一种广泛使用的内存数据存储，有助于缓存实时应用程序，而Confluence则支持协作和知识管理。

通过破坏这些应用程序，攻击者可以获得对系统的未经授权的访问、窃取敏感数据、破坏操作或部署勒索软件，从而对服务器和关键基础设施构成重大威胁。

在Spinning Yarn中，威胁行为者使用了几种独特的有效负载，包括四个Golang二进制文件，它们可以自动发现和感染主机并让它们利用代码。他们使用Confluence来利用常见的错误配置和漏洞，发起远程代码执行(RCE)攻击并感染新主机。

攻击者利用Confluence中的一个nday漏洞CVE-2022-26134并部署一个容器来进行Docker攻击。该漏洞自2022年以来一直被利用，包括Mirai恶意软件变体V3G4针对物联网设备进行DDoS攻击

进一步的探测揭示了一系列shell脚本和标准Linux攻击技术，用于提供加密货币挖矿程序、生成反向shell以及实现对受感染主机的持久访问。他们还部署了Platypus开源反向shell实用程序的实例来维护访问。

为了逃避检测，部署了多个用户模式​​Rootkit。研究人员观察到，该活动中使用的shell脚本有效负载与之前的云攻击中使用的有效负载有相似之处。

在他们的博客文章中，Cado Security Labs详细介绍了此IP地址上的docker Engine API蜜罐的初始访问活动：47966971。攻击者使用Alpine Linux生成了一个新容器，并为底层服务器的根目录创建了绑定挂载。这种技术在Docker 攻击中很常见，攻击者可以将文件写入主机并为Cron调度程序执行作业，最终实现RCE。

在此活动中，攻击者编写了一个可执行文件并注册了一个Cron作业来执行Base64编码的shell命令。针对Linux应用程序的如此广泛的攻击表明，攻击者在针对云环境中面向Web的服务、及时发现漏洞方面的技术日益成熟。

为了降低Spinning Yarn等活动带来的风险，请定期更新软件、启用强密码、对员工进行网络安全最佳实践教育、对网络进行分段以限制潜在损害，并部署端点安全解决方案和防火墙等安全解决方案来检测和防止恶意软件感染。这将有助于防止已知漏洞并确保安全的环境。