31 mai 2023Ravie LakshmananSécurité du serveur / Crypto-monnaie

Apache Nifi

Un cybercriminel à motivation financière parcourt activement Internet à la recherche d’informations non protégées. Instances Apache NiFi pour installer secrètement un mineur de crypto-monnaie et faciliter les mouvements latéraux.

Les résultats proviennent du SANS Internet Storm Center (ISC), qui a détecté un pic de requêtes HTTP pour « /nifi » le 19 mai 2023.

« La persistance est obtenue via des processeurs chronométrés ou des entrées dans cron, » a dit Dr Johannes Ullrich, doyen de la recherche au SANS Technology Institute. « Le script d’attaque n’est pas enregistré sur le système. Les scripts d’attaque sont conservés uniquement en mémoire. »

Une configuration de pot de miel a permis à l’ISC de déterminer que le pied initial est armé pour supprimer un script shell qui supprime le fichier « /var/log/syslog », désactive le pare-feu et met fin aux outils de crypto-minage concurrents, avant de télécharger et de lancer le Kinsing malware d’un serveur distant.

Publicité

Il vaut la peine de le souligner Kinsing a un palmarès d’exploiter les vulnérabilités divulguées publiquement dans les applications Web accessibles au public pour mener à bien ses attaques.

En septembre 2022, Trend Micro a détaillé une chaîne d’attaque identique qui utilisait les anciennes failles d’Oracle WebLogic Server (CVE-2020-14882 et CVE-2020-14883) pour délivrer le malware d’extraction de crypto-monnaie.

WEBINAIRE À VENIR

Zero Trust + Deception : apprenez à déjouer les attaquants !

Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !

Sauvez ma place !

Certaines attaques montées par le même acteur menaçant contre les serveurs NiFi exposés impliquent également l’exécution d’un deuxième script shell conçu pour collecter les clés SSH de l’hôte infecté pour se connecter à d’autres systèmes au sein de l’organisation de la victime.

Un indicateur notable de la campagne en cours est que les activités d’attaque et d’analyse réelles sont menées via l’adresse IP 109.207.200[.]43 contre le port 8080 et le port 8443/TCP.

« En raison de son utilisation en tant que plate-forme de traitement de données, les serveurs NiFi ont souvent accès à des données critiques pour l’entreprise », a déclaré SANS ISC. « Les serveurs NiFi sont probablement des cibles attrayantes car ils sont configurés avec des processeurs plus grands pour prendre en charge les tâches de transformation de données. L’attaque est insignifiante si le Le serveur NiFi n’est pas sécurisé. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


4.8/5 - (6 votes)
Publicité
Article précédentLe 1 000e épisode doublé en anglais de One Piece Anime obtient un événement en première mondiale pour l’Anime Expo – News 24
Article suivantSamsung confirme que la version bêta de One UI 5 Watch est retardée
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici