Quer apoiar meu projeto de divulgação de noticias? E ainda divulgar suas redes sociais Agora é possivel

Um agente de ameaça com motivação financeira está vasculhando ativamente a Internet em busca de instâncias Apache NiFi desprotegidas para instalar secretamente um minerador de criptomoeda e facilitar o movimento lateral.

As descobertas vêm do SANS Internet Storm Center (ISC), que detectou um pico nas solicitações HTTP para "/ nifi" em 19 de maio de 2023.

"A persistência é obtida por meio de processadores cronometrados ou entradas no cron", disse o Dr. Johannes Ullrich, reitor de pesquisa do SANS Technology Institute. "O script de ataque não é salvo no sistema. Os scripts de ataque são mantidos apenas na memória."

Uma configuração de honeypot permitiu que o ISC determinasse que o ponto de apoio inicial é armado para descartar um script de shell que remove o arquivo "/var/log/syslog", desativa o firewall e encerra as ferramentas concorrentes de mineração de criptografia, antes de baixar e iniciar o Kinsing malware de um servidor remoto.



Vale ressaltar que Kinsing tem um histórico de alavancar vulnerabilidades divulgadas publicamente em aplicativos da web acessíveis ao público para realizar seus ataques.

Em setembro de 2022, a Trend Micro detalhou uma cadeia de ataque idêntica que utilizou falhas antigas do Oracle WebLogic Server (CVE-2020-14882 e CVE-2020-14883) para entregar o malware de mineração de criptomoeda.

PRÓXIMO WEBINAR Zero Trust + Deception: Aprenda a enganar os invasores! Descubra como o Deception pode detectar ameaças avançadas, interromper movimentos laterais e aprimorar sua estratégia Zero Trust. Participe do nosso webinar perspicaz! Salve meu lugar!.ad-button,.ad-label,.ad-label:after{display:inline-block}.ad_two_webinar{margin:20px 10px 30px 0;background:#f9fbff;color:#160755;padding:0 5%;border:2px solid #d9deff;border-radius:10px;text-align:left;box-shadow:10px 10px 0 #e2ebff;-webkit-border-top-left-radius:25px;-moz-border- radius-topleft:25px;-webkit-border-bottom-right-radius:25px;-moz-border-radius-bottomright:25px}.ad-label{font-size:13px;margin:20px 0 0;font-weight :600;espaçamento entre letras:.6px;cor:#596cec}.ad-label:após{largura:50px;altura:6px;conteúdo:'';borda superior:2px sólido #d9deff;margem:0 8px}. título do anúncio{tamanho da fonte:21px;preenchimento:10px 0 0;peso da fonte:900;alinhamento do texto:esquerda;altura da linha:33px}.ad-description{alinhamento do texto:esquerda;tamanho da fonte:15,6 px;line-height:26px;margin:5px 0!important;color:#4e6a8d}.ad-button{padding:6px 12px;border-radius:5px;background-color:#4469f5;font-size:15px;color :#fff!important;border:0;line-height:herit;text-decoration:none!important;cursor:pointer;margin:15px 0 20px;float:left;font-weight:500;letter-spacing:.2px }

Ataques selecionados montados pelo mesmo ator de ameaça contra servidores NiFi expostos também envolvem a execução de um segundo shell script projetado para coletar chaves SSH do host infectado para se conectar a outros sistemas dentro da organização da vítima.

Um indicador notável da campanha em andamento é que as atividades reais de ataque e varredura são realizadas por meio do endereço IP 109.207.200[.]43 contra a porta 8080 e a porta 8443/TCP.

"Devido ao seu uso como plataforma de processamento de dados, os servidores NiFi geralmente têm acesso a dados críticos para os negócios", disse o SANS ISC. "Os servidores NiFi provavelmente são alvos atraentes, pois são configurados com CPUs maiores para suportar tarefas de transformação de dados. O ataque é trivial se o servidor NiFi não estiver protegido."



Veja a noticia completa em: https://thehackernews.com/2023/05/cybercriminals-targeting-apache-nifi.html

Fonte: https://thehackernews.com

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

#samirnews #samir #news #boletimtec #cibercriminosos #visando #instâncias #apache #nifi #para #mineração #de #criptomoeda

Post a Comment