Die Kinsing-Bedrohungsakteure haben kürzlich damit begonnen, eine kritische Sicherheitslücke in anfälligen Apache ActiveMQ-Servern auszunutzen (CVE-2023-46604). Dieser strategische Schachzug ermöglicht es ihnen, Linux-Systeme zu infizieren, bereitstellen Kryptowährung Bergleute und Rootkits für unerlaubte Gewinne.
Die Adaptable Kinsing Threat Group
Trend Micro-Sicherheitsforscher Peter Girnus beleuchtet den Ernst der Lage, Erklärt, dass Kinsing einmal in ein System eindringt, Es setzt ein Kryptowährungs-Mining-Skript ein. Dieses Skript nutzt die Ressourcen des Hosts, um Kryptowährungen wie Bitcoin zu schürfen, Dies führt zu erheblichen Schäden an der Infrastruktur und beeinträchtigt die Systemleistung.
Kinsing ist im Bereich der Cybersicherheit kein Unbekannter, Es handelt sich um eine Linux-Malware, die bekanntermaßen auf falsch konfigurierte Containerumgebungen für das Kryptowährungs-Mining abzielt. Die Bedrohungsakteure hinter Kinsing sind geschickt darin, kompromittierte Serverressourcen zu nutzen, um illegal Gewinne zu erwirtschaften.
Was Kinsing auszeichnet, ist seine Fähigkeit, sich schnell anzupassen. Die Gruppe bleibt der Zeit voraus, indem sie neu entdeckte Schwachstellen in Webanwendungen einbaut, um Zielnetzwerke zu durchbrechen und Krypto-Miner bereitzustellen. Aktuelle Berichte verdeutlichen die Versuche des Bedrohungsakteurs, eine Linux-Rechteausweitungslücke namens „Looney Tunables“ auszunutzen, Sie offenbaren ihr anhaltendes Streben nach der Infiltration von Cloud-Umgebungen.
Kinsing nutzt jetzt CVE-2023-46604 aus
Die aktuelle Kampagne von Kinsing beinhaltet die Ausnutzung von CVE-2023-46604, Eine aktiv ausgenutzte kritische Sicherheitslücke in Apache ActiveMQ mit einem CVSS-Score von 10.0. Diese Sicherheitsanfälligkeit ermöglicht Remotecodeausführung, Dadurch können Angreifer die Kinsing-Malware herunterladen und auf kompromittierten Systemen installieren.
Die folgenden Schritte umfassen das Abrufen zusätzlicher Nutzlasten aus einer vom Akteur kontrollierten Domäne und gleichzeitig das Ergreifen von Maßnahmen zur Beendigung konkurrierender Kryptowährungs-Miner, die bereits auf dem infizierten System tätig sind.
Um seine Beharrlichkeit und Kompromissbereitschaft weiter zu festigen, Kinsing geht noch einen Schritt weiter und lädt sein Rootkit /etc/ld.so.preload, Abschluss eines vollständigen Systemkompromisses, laut Girnus.
Als Reaktion auf die anhaltende Ausnutzung dieses kritischen Fehlers, Organisationen, die betroffene Versionen von Apache ActiveMQ verwenden, wird dringend empfohlen, umgehend auf eine gepatchte Version zu aktualisieren. Diese proaktive Maßnahme ist unerlässlich, um potenzielle Bedrohungen abzuschwächen und sich vor den zerstörerischen Folgen der Kryptowährungs-Mining-Kampagne von Kinsing zu schützen.