Finansal olarak motive olmuş bir tehdit aktörü, korumasız yazılımlar için aktif olarak interneti tarıyor. Apache NiFi örnekleri gizlice bir kripto para madencisi kurmak ve yanal hareketi kolaylaştırmak.
Bulgular, 19 Mayıs 2023’te “/nifi” için HTTP isteklerinde bir ani artış saptayan SANS İnternet Fırtına Merkezi’nden (ISC) geliyor.
“Kalıcılık, zamanlanmış işlemciler veya cron’a girişler aracılığıyla elde edilir” söz konusu SANS Teknoloji Enstitüsü araştırma dekanı Dr. Johannes Ullrich. “Saldırı betiği sisteme kaydedilmez. Saldırı betikleri yalnızca bellekte tutulur.”
Bir bal küpü kurulumu, ISC’nin, Kinsing’i indirip başlatmadan önce “/var/log/syslog” dosyasını kaldıran, güvenlik duvarını devre dışı bırakan ve rakip kripto madenciliği araçlarını sonlandıran bir kabuk komut dosyasını bırakmak için ilk dayanağın silah haline getirildiğini belirlemesine izin verdi. uzak bir sunucudan kötü amaçlı yazılım.
şunu belirtmekte fayda var akrabalık sahip sicil kaydı saldırılarını gerçekleştirmek için herkesin erişebileceği web uygulamalarındaki kamuya açıklanmış güvenlik açıklarından yararlanma.
Eylül 2022’de Trend Micro, kripto para madenciliği kötü amaçlı yazılımını dağıtmak için eski Oracle WebLogic Server kusurlarını (CVE-2020-14882 ve CVE-2020-14883) kullanan benzer bir saldırı zincirini ayrıntılı olarak açıkladı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Aynı tehdit aktörü tarafından açığa çıkan NiFi sunucularına yönelik belirli saldırılar, kurbanın organizasyonundaki diğer sistemlere bağlanmak için virüslü ana bilgisayardan SSH anahtarları toplamak üzere tasarlanmış ikinci bir kabuk betiğinin yürütülmesini de gerektirir.
Gerçek saldırı ve tarama faaliyetlerinin 109.207.200 IP adresi üzerinden gerçekleştirilmesi, devam eden kampanyanın dikkate değer bir göstergesidir.[.]43, 8080 bağlantı noktasına ve 8443/TCP bağlantı noktasına karşı.
SANS ISC, “Bir veri işleme platformu olarak kullanılması nedeniyle, NiFi sunucuları genellikle iş açısından kritik verilere erişebilir” dedi. “NiFi sunucuları, veri dönüştürme görevlerini desteklemek için daha büyük CPU’larla yapılandırıldıklarından, muhtemelen çekici hedeflerdir. NiFi sunucusu güvenli değil.”