Финансово мотивированная хакерская группировка активно сканирует интернет в поисках незащищённых инсталляций Apache NiFi, чтобы скрытно установить криптовалютный майнер и получить плацдарм для дальнейшего продвижения по сети жертвы.
Что обнаружили исследователи
О кампании сообщил SANS Internet Storm Center (ISC): 19 мая 2023 года там зафиксировали резкий всплеск HTTP-запросов к пути «/nifi». По словам Йоханнеса Ульриха, декана по науке SANS Technology Institute, закрепление в системе злоумышленники обеспечивают через отложенные процессоры NiFi или записи в cron. Сам вредоносный скрипт при этом нигде не сохраняется — атака работает целиком в памяти.
Развёрнутый ISC honeypot позволил проследить цепочку заражения. Получив первоначальный доступ, атакующие сбрасывают на сервер shell-скрипт, который:
- удаляет файл
/var/log/syslog; - отключает файрвол;
- завершает процессы конкурирующих майнеров;
- скачивает и запускает с удалённого сервера вредонос Kinsing.
Kinsing и знакомый почерк
Малварь Kinsing и раньше засветилась в подобных атаках: в сентябре 2022 года специалисты Trend Micro описали практически идентичную цепочку заражения, где для доставки криптомайнера использовались старые уязвимости Oracle WebLogic Server — CVE-2020-14882 и CVE-2020-14883. Группировка систематически эксплуатирует публично раскрытые уязвимости в общедоступных веб-приложениях.
В некоторых атаках на открытые серверы NiFi злоумышленники дополнительно запускают второй shell-скрипт, задача которого — собрать SSH-ключи с заражённого хоста, чтобы затем подключиться к другим системам внутри инфраструктуры жертвы.
Технические детали кампании
Сканирование и сама атака ведутся с IP-адреса 109.207.200[.]43, целью служат порты 8080 и 8443/TCP.
В SANS ISC отмечают, что серверы NiFi — привлекательная цель сразу по двум причинам. Во-первых, как платформа обработки данных NiFi часто имеет доступ к критически важной для бизнеса информации. Во-вторых, такие серверы обычно оснащают мощными процессорами для задач трансформации данных, что делает их удобным ресурсом для майнинга. Если сервер NiFi не защищён должным образом, атака проходит без каких-либо усилий со стороны злоумышленников.
Источник: The Hacker News.