区快洞察消息，腾讯安全威胁情报中心检测到有攻击者利用 Hadoop Yarn REST API 未授权命令执行漏洞攻击云上主机，攻击成功后执行恶意命令，向系统植入挖矿木马、IRC BotNet 后门、DDoS 攻击木马，入侵成功后还会使用 SSH 爆破的方式进一步向目标网络横向扩散。 攻击者入侵成功后，会清理系统进程和文件，以清除其他资源占用较高的进程（可能是可疑挖矿木马，也可能是正常服务），以便最大化利用系统资源。入侵者同时会配置免密登录后门，以方便进行远程控制，入侵者安装的 IRC 后门、DDoS 木马具备完整的目标扫描、下载恶意软件、执行任意命令和对特定目标进行网络攻击的能力。

通过对木马家族进行关联分析，发现本次攻击活动与永恒之蓝下载器木马关联度极高，攻击者使用的攻击套件与 Outlaw 僵尸网络木马高度一致，但尚不能肯定攻击活动由这两个团伙发起。 建议用户尽快修复 Hadoop Yarn REST API 未授权命令执行漏洞，避免采用弱口令。