Ngày 31 tháng 5 năm 2023Ravie Lakshmanan Bảo mật máy chủ / Tiền điện tử
Một kẻ đe dọa có động cơ tài chính đang tích cực lùng sục trên internet để tìm các phiên bản Apache NiFi không được bảo vệ nhằm ngấm ngầm cài đặt một công cụ khai thác tiền điện tử và tạo điều kiện thuận lợi cho hoạt động di chuyển ngang.
Những phát hiện này đến từ Trung tâm Bão Internet SANS (ISC). Trung tâm này đã phát hiện ra sự gia tăng đột biến các yêu cầu HTTP cho “/nifi” vào ngày 19 tháng 5 năm 2023.
Tiến sĩ Johannes Ullrich, trưởng khoa nghiên cứu của Viện Công nghệ SANS cho biết: “Tính bền bỉ đạt được thông qua các bộ xử lý được định thời gian hoặc các mục nhập vào cron. “Kịch bản tấn công không được lưu vào hệ thống. Kịch bản tấn công chỉ được lưu trong bộ nhớ.”
Thiết lập honeypot cho phép ISC xác định rằng chỗ đứng ban đầu được vũ khí hóa để loại bỏ tập lệnh shell loại bỏ tệp “/var/log/syslog”, vô hiệu hóa tường lửa và chấm dứt các công cụ khai thác tiền điện tử cạnh tranh trước khi tải xuống và khởi chạy Kinsing phần mềm độc hại từ một máy chủ từ xa.
Cần chỉ ra rằng Kinsing có thành tích tận dụng các lỗ hổng được tiết lộ công khai trong các ứng dụng web có thể truy cập công khai để thực hiện các cuộc tấn công của mình.
Vào tháng 9 năm 2022, Trend Micro đã mô tả chi tiết một chuỗi tấn công giống hệt nhau sử dụng các lỗ hổng Máy chủ WebLogic cũ của Oracle (CVE-2020-14882 và CVE-2020-14883) để phân phối phần mềm độc hại khai thác tiền điện tử.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Zero Trust + Lừa đảo: Học cách qua mặt những kẻ tấn công!
Khám phá cách Deception có thể phát hiện các mối đe dọa nâng cao, ngăn chặn chuyển động ngang và nâng cao chiến lược Zero Trust của bạn. Tham gia hội thảo trên web sâu sắc của chúng tôi!
Giữ chỗ ngồi của tôi!
Các cuộc tấn công chọn lọc được thực hiện bởi cùng một tác nhân đe dọa nhằm vào các máy chủ NiFi bị lộ cũng đòi hỏi việc thực thi tập lệnh shell thứ hai được thiết kế để thu thập các khóa SSH từ máy chủ bị nhiễm để kết nối với các hệ thống khác trong tổ chức của nạn nhân.
Một dấu hiệu đáng chú ý của chiến dịch đang diễn ra là các hoạt động quét và tấn công thực tế được thực hiện thông qua địa chỉ IP 109.207.200[.]43 so với cổng 8080 và cổng 8443/TCP.
SANS ISC cho biết: “Do được sử dụng như một nền tảng xử lý dữ liệu, các máy chủ NiFi thường có quyền truy cập vào dữ liệu quan trọng trong kinh doanh”. “Các máy chủ NiFi có thể là mục tiêu hấp dẫn vì chúng được cấu hình với CPU lớn hơn để hỗ trợ các tác vụ chuyển đổi dữ liệu. Cuộc tấn công sẽ không đáng kể nếu máy chủ NiFi không được bảo mật.”
