Un cybercriminel à motivation financière parcourt activement Internet à la recherche d’informations non protégées. Instances Apache NiFi pour installer secrètement un mineur de crypto-monnaie et faciliter les mouvements latéraux.
Les résultats proviennent du SANS Internet Storm Center (ISC), qui a détecté un pic de requêtes HTTP pour « /nifi » le 19 mai 2023.
« La persistance est obtenue via des processeurs chronométrés ou des entrées dans cron, » a dit Dr Johannes Ullrich, doyen de la recherche au SANS Technology Institute. « Le script d’attaque n’est pas enregistré sur le système. Les scripts d’attaque sont conservés uniquement en mémoire. »
Une configuration de pot de miel a permis à l’ISC de déterminer que le pied initial est armé pour supprimer un script shell qui supprime le fichier « /var/log/syslog », désactive le pare-feu et met fin aux outils de crypto-minage concurrents, avant de télécharger et de lancer le Kinsing malware d’un serveur distant.
Il vaut la peine de le souligner Kinsing a un palmarès d’exploiter les vulnérabilités divulguées publiquement dans les applications Web accessibles au public pour mener à bien ses attaques.
En septembre 2022, Trend Micro a détaillé une chaîne d’attaque identique qui utilisait les anciennes failles d’Oracle WebLogic Server (CVE-2020-14882 et CVE-2020-14883) pour délivrer le malware d’extraction de crypto-monnaie.
Zero Trust + Deception : apprenez à déjouer les attaquants !
Découvrez comment Deception peut détecter les menaces avancées, arrêter les mouvements latéraux et améliorer votre stratégie Zero Trust. Rejoignez notre webinaire perspicace !
Certaines attaques montées par le même acteur menaçant contre les serveurs NiFi exposés impliquent également l’exécution d’un deuxième script shell conçu pour collecter les clés SSH de l’hôte infecté pour se connecter à d’autres systèmes au sein de l’organisation de la victime.
Un indicateur notable de la campagne en cours est que les activités d’attaque et d’analyse réelles sont menées via l’adresse IP 109.207.200[.]43 contre le port 8080 et le port 8443/TCP.
« En raison de son utilisation en tant que plate-forme de traitement de données, les serveurs NiFi ont souvent accès à des données critiques pour l’entreprise », a déclaré SANS ISC. « Les serveurs NiFi sont probablement des cibles attrayantes car ils sont configurés avec des processeurs plus grands pour prendre en charge les tâches de transformation de données. L’attaque est insignifiante si le Le serveur NiFi n’est pas sécurisé. »