Estes ataques andam a ser efetuados aproveitando uma vulnerablidade não corrigida nos sistemas-alvo, dada pelo CVE-2017-6526.
De momento, as aplicações dnaLIMS estão a ser procuradas por toda a Internet por um IP Iraniano a fim de serem exploradas, e que são usadas em pesquisas/investigações industriais.
Assim que estas aplicações são encontradas, o hacker coloca uma bind shell para tomar controlo sobre o servidor web.
Qual o possível uso que os atacantes poderiam dar a estas aplicações?
Como se trata de informação de ADN, os hackers podem vender as hashes das sequências de ADN que se encontrem nas bases de dados e vendê-las na dark web ou comprometer servidores para adicionar à sua botnet.
O IP Iraniano em questão tem também um histórico por fazer análises avulsas com o nmap, além de tentativas de exploração tanto dos routers Zyxel CVE-2017-6884 como de falhas ligadas ao sistema Apache Struts CVE-2017-5638.
Fonte: https://www.zdnet.com/article/mysterious-iranian-group-is-hacking-into-dna-sequencers/