Kinsing Threat Group udnytter nu kritisk CVE-2023-46604

Kinsing-trusselsaktørerne begyndte for nylig at udnytte en kritisk sikkerhedsfejl i sårbare Apache ActiveMQ-servere (CVE-2023-46604). Dette strategiske træk giver dem mulighed for at inficere Linux-systemer, indsættelse cryptocurrency minearbejdere og rootkits for ulovlige gevinster.

The Adaptable Kinsing Threat Group

Trend Micro-sikkerhedsforsker Peter Girnus kaster lys over situationens alvor, forklarer, at når Kinsing infiltrerer et system, det implementerer et script til minedrift af kryptovaluta. Dette script udnytter værtens ressourcer til at mine kryptovalutaer som Bitcoin, forårsager væsentlig skade på infrastrukturen og påvirker systemets ydeevne negativt.

Kinsing er ikke fremmed for cybersikkerhedsområdet, repræsenterer en Linux-malware med en berygtet historie med at målrette mod fejlkonfigurerede containermiljøer til cryptocurrency-mining. Trusselsaktørerne bag Kinsing er dygtige til at bruge kompromitterede serverressourcer til at generere overskud ulovligt.

Det, der adskiller Kinsing, er dets evne til at tilpasse sig hurtigt. Gruppen holder sig foran kurven ved at inkorporere nyligt afslørede fejl i webapplikationer for at bryde målnetværk og levere kryptominere. Nylige rapporter fremhæver trusselsaktørens forsøg på at udnytte en Linux-privilegie-eskaleringsfejl kaldet Looney Tunables, afslører deres igangværende jagt på infiltrerende skymiljøer.

Kinsing nu udnytter CVE-2023-46604

Den nuværende kampagne af Kinsing involverer udnyttelsen af CVE-2023-46604, en aktivt udnyttet kritisk sårbarhed i Apache ActiveMQ med en CVSS-score på 10.0. Denne sårbarhed tillader fjernkørsel af programkode, gør det muligt for modstandere at downloade og installere Kinsing malware på kompromitterede systemer.

De efterfølgende trin involverer at hente yderligere nyttelast fra et aktørkontrolleret domæne, mens der samtidig træffes foranstaltninger til at afslutte konkurrerende cryptocurrency-minearbejdere, der allerede opererer på det inficerede system.

For yderligere at styrke dens vedholdenhed og kompromis, Kinsing går et skridt videre ved at indlæse sit rootkit /etc/ld.so.preload, fuldføre et komplet systemkompromis, ifølge Girnus.

Som svar på den igangværende udnyttelse af denne kritiske fejl, organisationer, der kører berørte versioner af Apache ActiveMQ, anbefales på det kraftigste at opdatere til en patchet version omgående. Denne proaktive foranstaltning er afgørende for at afbøde potentielle trusler og sikre sig mod de destruktive konsekvenser af Kinsings kampagne for minedrift af kryptovaluta.