Boten syftar till att starta DDoS-attacker mot tredje part genom att rikta in sig på Hadoop-kluster felaktigt konfigurerade YARN-komponenter.

Till skillnad från Mirai-boten, ett av de mest kända botnätverken som ställt till problem ibland annat USA och Liberia, så distribueras Demonbot via centrala serverar – inte via mask. I dagsläget har över 70 distribueringsservrar upptäckts som skickar ut drygt 1 miljon YARN-exploits per dag.

Baserat på den PoC-kod som publicerades i mars i år attackeras ett internt YARN-api som exponeras för externa anslutningar, och genom det kan kod exekveras inom Hadoop-klustret.

”Se över YARN-konfigurationerna så att inte REST API:et exponeras mot omvärlden, vilket gör det möjligt att lägga till nya applikationer till klustret”, rekommenderar CERT-SE, Sveriges computer emergency response team, som drivs av MSB.