Um ator de ameaças com motivação financeira está procurando ativamente instâncias desprotegidas do Apache NiFi na internet para instalar secretamente um minerador de criptomoedas e facilitar a movimentação lateral.
As descobertas vêm do SANS Internet Storm Center (ISC), que detectou um pico em solicitações HTTP para "/nifi" em 19 de maio de 2023.
"A persistência é alcançada por meio de processadores cronometrados ou entradas no cron", disse o Dr. Johannes Ullrich, decano de pesquisa do SANS Technology Institute.
"Os scripts de ataque não são salvos no sistema. Os scripts de ataque são mantidos apenas na memória."
Uma configuração de honeypot permitiu ao ISC determinar que o ponto de apoio inicial é armado para soltar um script de shell que remove o arquivo "/var/log/syslog", desativa o firewall e encerra as ferramentas de mineração de criptomoedas concorrentes, antes de baixar e lançar o malware Kinsing de um servidor remoto.
Vale ressaltar que o Kinsing tem um histórico de alavancar vulnerabilidades divulgadas publicamente em aplicativos da web acessíveis publicamente para realizar seus ataques.
Em setembro de 2022, a Trend Micro detalhou uma cadeia de ataque idêntica que utilizou falhas antigas do Oracle WebLogic Server (
CVE-2020-14882
e
CVE-2020-14883
) para fornecer o malware de mineração de criptomoedas.
Alguns ataques montados pelo mesmo ator de ameaças contra servidores NiFi expostos também envolvem a execução de um segundo script de shell projetado para coletar chaves SSH do host infectado para se conectar a outros sistemas dentro da organização da vítima.
Um indicador notável da campanha em andamento é que as atividades reais de ataque e varredura são realizadas através de um endereço IP contra a porta 8080 e a porta 8443/TCP.
"Devido ao seu uso como plataforma de processamento de dados, os servidores NiFi frequentemente têm acesso a dados críticos de negócios", disse o SANS ISC.
"Os servidores NiFi provavelmente são alvos atrativos, pois são configurados com CPUs maiores para suportar tarefas de transformação de dados.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...