🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Tin tặc đang nhắm mục tiêu các máy chủ Apache NiFi để khai thác tiền điện tử

01/06/2023

Một tác nhân đe dọa có động cơ tài chính đang cố gắng tìm kiếm trên internet các máy chủ đang chạy Apache NiFi không được bảo vệ để lén lút cài đặt công cụ khai thác tiền điện tử.

Những phát hiện này đến từ SANS Internet Storm Center (ISC). Trung tâm này đã phát hiện ra sự gia tăng đột biến các yêu cầu HTTP đến "/nifi" vào ngày 19 tháng 5 năm 2023.

Tiến sĩ Johannes Ullrich, trưởng khoa nghiên cứu của Viện Công nghệ SANS cho biết tính persistence (khả năng của một kẻ tấn công hoặc một phần mềm độc hại để duy trì truy cập và hoạt động trên một hệ thống mục tiêu trong thời gian dài mà không bị phát hiện hoặc loại bỏ) đạt được thông qua các bộ xử lý được lập lịch hoặc các tác vụ tự động được thêm vào cron.

Thiết lập honeypot của ISC đã xác định được sau khi xâm nhập vào mạng, kẻ tấn công đã tải và chạy một shell script có khả năng xóa tệp log tại "/var/log/syslog", vô hiệu hóa tường lửa và dừng các công cụ khai thác tiền điện tử trước khi tải xuống và khởi chạy phần mềm độc hại Kinsing từ một máy chủ từ xa.

Kinsing lạm dụng các lỗ hổng đã biết trong các ứng dụng web có thể truy cập công khai để thực hiện các cuộc tấn công của nó.

Vào tháng 9 năm 2022, Trend Micro cũng đã tiết lộ chi tiết về một chuỗi tấn công tương tự sử dụng các lỗ hổng đã biết trong Máy chủ WebLogic của Oracle (CVE-2020-14882 và CVE-2020-14883) để phát tán mã độc khai thác tiền điện tử.

Các cuộc tấn công có chủ đích được thực hiện bởi cùng một tác nhân đe dọa nhằm vào các máy chủ NiFi còn thực thi thêm tập lệnh (shell script) thứ hai được thiết kế để đánh cắp các khóa SSH từ máy chủ bị nhiễm nhằm mở rộng phạm vi xâm phạm đến các hệ thống khác trong tổ chức của nạn nhân.

Một dấu hiệu đáng chú ý của chiến dịch đang diễn ra là các hoạt động quét và tấn công được thực hiện thông qua địa chỉ IP 109.207.200[.]43 ở cổng 8080 và cổng 8443/TCP.

SANS ISC cho biết: "Do được sử dụng như một nền tảng xử lý dữ liệu, các máy chủ NiFi thường có quyền truy cập vào dữ liệu quan trọng trong kinh doanh". "Các máy chủ NiFi có thể là mục tiêu hấp dẫn với các đối tượng khai thác tiền điện tử vì chúng thường được cấu hình với CPU lớn hơn để hỗ trợ các tác vụ chuyển đổi dữ liệu. Cuộc tấn công sẽ dễ thực hiện hơn nếu máy chủ NiFi không được bảo vệ."

Để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công như vậy, các quản trị viên nên kiểm soát truy cập chặt chẽ đối với các dịch vụ có kết nối ra internet, đồng thời triển khai các biện pháp bảo vệ như xác thực, firewall, IDPS,… và cập nhật đầy đủ bản vá bảo mật cho các phần mềm, ứng dụng đang sử dụng để tăng cường bảo mật cho hệ thống/máy chủ của mình.

Nguồn: thehackernews.com.

scrolltop