Finansijski motivisani hakeri aktivno pretražuju internet u potrazi za nezaštićenim Apache NiFi instancama kako bi tajno instalirali rudar kriptovaluta i omogućili lateralno kretanje.
Nalazi dolaze iz SANS Internet Storm Centra (ISC), koji je 19. maja 2023. godine otkrio porast HTTP zahtjeva za “/nifi”.
“Postojanost se postiže putem vremenski ograničenih procesora ili unosa u cron” rekao je dr. Johannes Ullrich, dekan istraživanja za SANS Technology Institute. “Skripta napada nije sačuvana u sistemu. Skripte napada se čuvaju samo u memoriji.”
Postavljanje honeypot-a omogućilo je ISC-u da utvrdi da je početno uporište naoružano da ispusti shell skriptu koja uklanja datoteku “/var/log/syslog”, onemogućuje firewall i prekida konkurentske alate za rudarenje kriptovaluta, prije preuzimanja i pokretanja Kinsinga malware-a sa udaljenog servera.
Vrijedi istaći da Kinsing ima iskustvo u korištenju javno objavljenih ranjivosti u javno dostupnim web aplikacijama za izvođenje svojih napada.
U septembru 2022. godine Trend Micro je detaljno opisao identičan lanac napada koji je koristio stare greške Oracle WebLogic servera (CVE-2020-14882 i CVE-2020-14883) za isporuku malicioznog softvera za rudarenje kriptovaluta.
Odabrani napadi koje je pokrenuo isti haker na izložene NiFi servere takođe podrazumijevaju izvršavanje druge shell skripte koja je dizajnirana da prikupi SSH ključeve sa zaraženog hosta radi povezivanja na druge sisteme unutar organizacije žrtve.
Značajan pokazatelj tekuće kampanje je da se stvarni napad i aktivnosti skeniranja izvode preko IP adrese 109.207.200[.]43 prema portu 8080 i portu 8443/TCP.
“Zbog upotrebe kao platforme za obradu podataka, NiFi serveri često imaju pristup podacima od ključne važnosti za poslovanje” kažu u SANS ISC. “NiFi serveri su vjerovatno privlačne mete jer su konfigurisani sa većim CPU-ima da podržavaju zadatke transformacije podataka. Napad je trivijalan ako NiFi server nije osiguran.”
Izvor: The Hacker News