Hakeri iz Kinsinga aktivno iskorištavaju kritičnu sigurnosnu grešku u ranjivim Apache ActiveMQ serverima kako bi zarazili Linux sisteme rudarima kriptovaluta i rootkitovima.
“Kada Kinsing zarazi sistem, on primenjuje skriptu za rudarenje kriptovaluta koja iskorištava resurse domaćina za rudarenje kriptovaluta poput Bitcoina, što rezultira značajnom štetom na infrastrukturi i negativnim uticajem na performanse sistema”, rekao je istraživač sigurnosti Trend Micro-a Peter Girnus.
Kinsing se odnosi na Linux malver s istorijom ciljanja pogrešno konfigurisanih kontejnerskih okruženja za rudarenje kriptovaluta, često koristeći kompromitovane serverske resurse za generisanje nezakonitog profita za hakere.
Grupa je također poznata po tome da brzo prilagođava svoju taktiku kako bi uključila novootkrivene nedostatke u web aplikacijama za probijanje ciljnih mreža i isporuku kripto rudara. Ranije ovog mjeseca, Aqua je otkrio pokušaje hakera da iskoristi propust eskalacije Linux privilegija pod nazivom Looney Tunables za infiltriranje u cloud okruženja.
Najnovija kampanja uključuje zloupotrebu CVE-2023-46604 (CVSS rezultat: 10,0), aktivno iskorištavanu kritičnu ranjivost u Apache ActiveMQ koja omogućava daljinsko izvršavanje koda, dozvoljavajući protivniku da preuzme i instalira Kinsing malver.
Nakon toga slijedi preuzimanje dodatnih korisnih podataka iz domene koju kontroliše haker, dok se istovremeno preduzimaju koraci za ukidanje konkurentskih rudara kriptovaluta koji već rade na zaraženom sistemu.
Kinsing udvostručuje svoju upornost i kompromis tako što učitava svoj rootkit u /etc/ld.so.preload, čime se završava potpuni kompromis sistema”, rekao je Girnus.
U svjetlu kontinuisanog iskorištavanja propusta, organizacijama koje koriste zahvaćene verzije Apache ActiveMQ preporučuje se ažuriranje na zakrpljenu verziju što je prije moguće kako bi ublažile potencijalne prijetnje.
Objava dolazi u trenutku kada AhnLab Security Emergency Response Center (ASEC) upozorava na sajber napade koji ciljaju ranjive Apache web servere za kampanju cryptojackinga koja koristi Cobalt Strike ili Gh0st RAT za isporuku rudara kriptovaluta.
Izvor: The Hacker News