Finansal olarak motive olmuş bir tehdit aktörü, gizlice bir kripto para madenciliği kurmak ve yanal hareketi kolaylaştırmak için korumasız Apache NiFi örnekleri için internette aktif olarak araştırma yapıyor.
Bulgular, 19 Mayıs 2023’te “/nifi” için HTTP isteklerinde bir ani artış saptayan SANS İnternet Fırtına Merkezi’nden (ISC) geliyor.
SANS Teknoloji Enstitüsü araştırma dekanı Dr. Johannes Ullrich, “Kalıcılık, zamanlanmış işlemciler veya cron’a girişler yoluyla elde edilir” dedi. “Saldırı betiği sisteme kaydedilmez. Saldırı betikleri yalnızca bellekte tutulur.”
Bir bal küpü kurulumu, ISC’nin, Kinsing’i indirip başlatmadan önce “/var/log/syslog” dosyasını kaldıran, güvenlik duvarını devre dışı bırakan ve rakip kripto madenciliği araçlarını sonlandıran bir kabuk komut dosyasını bırakmak için ilk dayanağın silah haline getirildiğini belirlemesine olanak sağladı. uzak bir sunucudan kötü amaçlı yazılım.
Kinsing’in, saldırılarını gerçekleştirmek için herkesin erişebileceği web uygulamalarındaki kamuya açıklanmış güvenlik açıklarından yararlanma konusunda bir geçmişe sahip olduğunu belirtmekte fayda var.
Eylül 2022’de Trend Micro, kripto para madenciliği kötü amaçlı yazılımını dağıtmak için eski Oracle WebLogic Server kusurlarını (CVE-2020-14882 ve CVE-2020-14883) kullanan benzer bir saldırı zincirini ayrıntılı olarak açıkladı.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Koltuğumu Kurtar!
Aynı tehdit aktörü tarafından açığa çıkan NiFi sunucularına yönelik belirli saldırılar, kurbanın organizasyonundaki diğer sistemlere bağlanmak için virüslü ana bilgisayardan SSH anahtarları toplamak üzere tasarlanmış ikinci bir kabuk betiğinin yürütülmesini de gerektirir.
Gerçek saldırı ve tarama faaliyetlerinin 109.207.200 IP adresi üzerinden gerçekleştirilmesi, devam eden kampanyanın dikkate değer bir göstergesidir.[.]43, 8080 bağlantı noktasına ve 8443/TCP bağlantı noktasına karşı.
SANS ISC, “Bir veri işleme platformu olarak kullanılması nedeniyle, NiFi sunucuları genellikle iş açısından kritik verilere erişebilir” dedi. “NiFi sunucuları, veri dönüştürme görevlerini desteklemek için daha büyük CPU’larla yapılandırıldığından, muhtemelen çekici hedeflerdir. NiFi sunucusu güvenli değilse saldırı önemsizdir.”