Հաքերներն ակտիվ որոնողական աշխատանքներ են տանում ինտերնետ ծածկույթում՝ չպաշտպանված Apache NiFi instances-երում կրիպտոարժույթի miner-ներ տեղադրելու նպատակով:
Բացահայտումներն արվել են SANS Internet Storm Center-ի (ISC) կողմից, որը դեռևս 2023 թվականի մայիսի 19-ին հայտնաբերել էր «/nifi» HTTP հարցումների զգալի աճ:
Honeypot-ի կարգավորումները ISC-ին թույլ տվեցին որոշել, որ նախքան Kinsing malware-ի ներբեռնումն ու գործարկումը, տեղադրվում է shell script-ը, որը հեռացնում է «/var/log/syslog» ֆայլը, անջատում firewall-ը և դադարեցնում crypto-mining-ի գործիքների աշխատանքը:
Հարկ է նշել, որ Kinsing-ն ունի իր հարձակումներն արդյունավետ իրականացնելու մեծ փորձ և հարուստ գործիքակազմ:
2022 թվականի սեպտեմբերին Trend Micro-ն մանրամասնեց նույնական հարձակումների շղթայի աշխատանքը, որն օգտագործում էր Oracle WebLogic սերվերի հին խոցելիությունները (CVE-2020-14882 և CVE-2020-14883)՝ կրիպտոարժույթների mining malware-ներ տարածելու համար:
Շարունակվող արշավի ուշագրավ ցուցանիշն այն է, որ իրական հարձակումը և սկանավորման գործողություններն իրականացվում են 8080 և 8443/TCP պորտերի դեմ՝ 109.207.200[.]43 IP հասցեի միջոցով:
«Որպես տվյալների մշակման հարթակ, NiFi սերվերները մուտք ունեն դեպի բիզնեսի համար կարևոր տվյալներ», – նշում է SANS ISC-ն:
«NiFi սերվերները գրավիչ թիրախներ են, քանի որ դրանք business-critical տվյալներ են պարունակում: Եթե NiFi սերվերներն ապահովված չէ, դրանց դեմ ուղղված հարձակումներն իրականացվում են առանց մեծ ջանքերի»:
Աղբյուրը՝ https://thehackernews.com/
