Das Nautilus-Team von Aqua Security hat eine neue Krypto-Mining-Kampagne namens „Lucifer“ entdeckt, die sich gegen Apache und insbesondere gegen die bei vielen Anwendern beliebten Software-Bibliotheken Hadoop und Druid richtet. Die Angreifer nutzen dabei bestehende Fehlkonfigurationen und Schwachstellen aus.
Die aktuelle Kampagne nutzt eine neue Variante eines bekannten DDoS-Botnetzes, das auf verwundbare Linux-Systeme abzielt. Die Malware ist unter dem Namen „Lucifer“ bekannt und nutzt einmal kompromittierte Apache-Server, um die Kryptowährung Monero zu schürfen. Die Cyberkriminellen hinter Lucifer konzentrieren sich auf die bei Entwicklern beliebten Apache-Bibliotheken Hadoop und Druid und nutzen bestehende Sicherheitslücken oder Fehlkonfigurationen zur Kompromittierung aus. Team Nautilus konnte in seinen Honeypots erste Angriffe mit „Lucifer“ finden, die bereits im Juli 2023 stattfanden. Das Team vermutet, dass es sich dabei um Tests der Angreifer handelt, um Techniken zur Umgehung der Abwehr zu evaluieren und die Erkennung der Malware zu umgehen. Im Laufe des letzten Jahres beobachteten die Sicherheitsexperten einen stetigen Anstieg der Angriffe. Allein im letzten Monat wurden über 3.000 verschiedene Angriffe registriert.