Un actor de amenazas motivado financieramente está rastreando activamente Internet en busca de desprotegidos. Instancias de Apache NiFi para instalar de forma encubierta un minero de criptomonedas y facilitar el movimiento lateral.
Los hallazgos provienen del SANS Internet Storm Center (ISC), que detectó un aumento en las solicitudes HTTP de «/nifi» el 19 de mayo de 2023.
«La persistencia se logra a través de procesadores cronometrados o entradas a cron», dicho Dr. Johannes Ullrich, decano de investigación del SANS Technology Institute. «El script de ataque no se guarda en el sistema. Los scripts de ataque solo se guardan en la memoria».
Una configuración de honeypot permitió al ISC determinar que el punto de apoyo inicial está armado para lanzar un script de shell que elimina el archivo «/var/log/syslog», desactiva el firewall y finaliza las herramientas de criptominería de la competencia, antes de descargar y ejecutar Kinsing. malware desde un servidor remoto.
Vale la pena señalar que parentesco tiene un audio grabado de aprovechar vulnerabilidades divulgadas públicamente en aplicaciones web de acceso público para llevar a cabo sus ataques.
En septiembre de 2022, Trend Micro detalló una cadena de ataque idéntica que utilizó fallas antiguas de Oracle WebLogic Server (CVE-2020-14882 y CVE-2020-14883) para entregar el malware de minería de criptomonedas.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Los ataques seleccionados montados por el mismo actor de amenazas contra servidores NiFi expuestos también implican la ejecución de un segundo script de shell que está diseñado para recopilar claves SSH del host infectado para conectarse a otros sistemas dentro de la organización de la víctima.
Un indicador notable de la campaña en curso es que las actividades reales de ataque y escaneo se llevan a cabo a través de la dirección IP 109.207.200.[.]43 contra puerto 8080 y puerto 8443/TCP.
«Debido a su uso como plataforma de procesamiento de datos, los servidores NiFi a menudo tienen acceso a datos críticos para el negocio», dijo SANS ISC. «Los servidores NiFi son probablemente objetivos atractivos, ya que están configurados con CPU más grandes para admitir tareas de transformación de datos. El ataque es trivial si el El servidor NiFi no está protegido.»