Cibercriminosos estão mirando instâncias do Apache NiFi para mineração de criptomoedas
1 de Junho de 2023

Um ator de ameaças com motivação financeira está procurando ativamente instâncias desprotegidas do Apache NiFi na internet para instalar secretamente um minerador de criptomoedas e facilitar a movimentação lateral.

As descobertas vêm do SANS Internet Storm Center (ISC), que detectou um pico em solicitações HTTP para "/nifi" em 19 de maio de 2023.

"A persistência é alcançada por meio de processadores cronometrados ou entradas no cron", disse o Dr. Johannes Ullrich, decano de pesquisa do SANS Technology Institute.

"Os scripts de ataque não são salvos no sistema. Os scripts de ataque são mantidos apenas na memória."

Uma configuração de honeypot permitiu ao ISC determinar que o ponto de apoio inicial é armado para soltar um script de shell que remove o arquivo "/var/log/syslog", desativa o firewall e encerra as ferramentas de mineração de criptomoedas concorrentes, antes de baixar e lançar o malware Kinsing de um servidor remoto.

Vale ressaltar que o Kinsing tem um histórico de alavancar vulnerabilidades divulgadas publicamente em aplicativos da web acessíveis publicamente para realizar seus ataques.

Em setembro de 2022, a Trend Micro detalhou uma cadeia de ataque idêntica que utilizou falhas antigas do Oracle WebLogic Server ( CVE-2020-14882 e CVE-2020-14883 ) para fornecer o malware de mineração de criptomoedas.

Alguns ataques montados pelo mesmo ator de ameaças contra servidores NiFi expostos também envolvem a execução de um segundo script de shell projetado para coletar chaves SSH do host infectado para se conectar a outros sistemas dentro da organização da vítima.

Um indicador notável da campanha em andamento é que as atividades reais de ataque e varredura são realizadas através de um endereço IP contra a porta 8080 e a porta 8443/TCP.

"Devido ao seu uso como plataforma de processamento de dados, os servidores NiFi frequentemente têm acesso a dados críticos de negócios", disse o SANS ISC.

"Os servidores NiFi provavelmente são alvos atrativos, pois são configurados com CPUs maiores para suportar tarefas de transformação de dados.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...