Незащищённые серверы Apache NiFi атакуют ради майнинга криптовалюты

Финансово мотивированная хакерская группировка активно сканирует интернет в поисках незащищённых инсталляций Apache NiFi, чтобы скрытно установить криптовалютный майнер и получить плацдарм для дальнейшего продвижения по сети жертвы.

Что обнаружили исследователи

О кампании сообщил SANS Internet Storm Center (ISC): 19 мая 2023 года там зафиксировали резкий всплеск HTTP-запросов к пути «/nifi». По словам Йоханнеса Ульриха, декана по науке SANS Technology Institute, закрепление в системе злоумышленники обеспечивают через отложенные процессоры NiFi или записи в cron. Сам вредоносный скрипт при этом нигде не сохраняется — атака работает целиком в памяти.

Развёрнутый ISC honeypot позволил проследить цепочку заражения. Получив первоначальный доступ, атакующие сбрасывают на сервер shell-скрипт, который:

  • удаляет файл /var/log/syslog;
  • отключает файрвол;
  • завершает процессы конкурирующих майнеров;
  • скачивает и запускает с удалённого сервера вредонос Kinsing.

Kinsing и знакомый почерк

Малварь Kinsing и раньше засветилась в подобных атаках: в сентябре 2022 года специалисты Trend Micro описали практически идентичную цепочку заражения, где для доставки криптомайнера использовались старые уязвимости Oracle WebLogic Server — CVE-2020-14882 и CVE-2020-14883. Группировка систематически эксплуатирует публично раскрытые уязвимости в общедоступных веб-приложениях.

В некоторых атаках на открытые серверы NiFi злоумышленники дополнительно запускают второй shell-скрипт, задача которого — собрать SSH-ключи с заражённого хоста, чтобы затем подключиться к другим системам внутри инфраструктуры жертвы.

Технические детали кампании

Сканирование и сама атака ведутся с IP-адреса 109.207.200[.]43, целью служат порты 8080 и 8443/TCP.

В SANS ISC отмечают, что серверы NiFi — привлекательная цель сразу по двум причинам. Во-первых, как платформа обработки данных NiFi часто имеет доступ к критически важной для бизнеса информации. Во-вторых, такие серверы обычно оснащают мощными процессорами для задач трансформации данных, что делает их удобным ресурсом для майнинга. Если сервер NiFi не защищён должным образом, атака проходит без каких-либо усилий со стороны злоумышленников.

Источник: The Hacker News.