Los actores de amenazas de Kinsing comenzaron recientemente a explotar una falla de seguridad crítica en servidores Apache ActiveMQ vulnerables. (CVE-2023-46604). Este movimiento estratégico les permite infectar sistemas Linux, implementando mineros criptomoneda y rootkits por ganancias ilícitas.
El grupo de amenaza de parentesco adaptable
El investigador de seguridad de Trend Micro, Peter Girnus, arroja luz sobre la gravedad de la situación, explicando que una vez que Kinsing se infiltra en un sistema, implementa un script de minería de criptomonedas. Este script aprovecha los recursos del anfitrión para extraer criptomonedas como Bitcoin., causando daños sustanciales a la infraestructura y afectando negativamente el rendimiento del sistema.
Kinsing no es ajeno al ámbito de la ciberseguridad, representa un malware de Linux con un notorio historial de apuntar a entornos en contenedores mal configurados para la minería de criptomonedas.. Los actores de amenazas detrás de Kinsing son expertos en utilizar recursos de servidores comprometidos para generar ganancias ilícitas..
Lo que distingue a Kinsing es su capacidad de adaptarse rápidamente.. El grupo se mantiene a la vanguardia al incorporar fallas recientemente reveladas en aplicaciones web para violar las redes objetivo y entregar criptomineros.. Informes recientes destacan los intentos del actor de amenazas de explotar una falla de escalada de privilegios de Linux llamada Looney Tunables, revelando su búsqueda continua de infiltrarse en entornos de nube.
Kinsing ahora explota CVE-2023-46604
La actual campaña de Kinsing implica la explotación de CVE-2023-46604, una vulnerabilidad crítica explotada activamente en Apache ActiveMQ con una puntuación CVSS de 10.0. Esta vulnerabilidad permite ejecución remota de código, permitir a los adversarios descargar e instalar el malware Kinsing en sistemas comprometidos.
Los pasos siguientes implican recuperar cargas útiles adicionales de un dominio controlado por el actor y, al mismo tiempo, tomar medidas para eliminar a los mineros de criptomonedas competidores que ya operan en el sistema infectado..
Para solidificar aún más su persistencia y compromiso, Kinsing va un paso más allá al cargar su rootkit en /etc/ld.so.precargar, completar un compromiso completo del sistema, según Girnus.
En respuesta a la explotación continua de este defecto crítico, Se recomienda encarecidamente a las organizaciones que ejecutan versiones afectadas de Apache ActiveMQ que actualicen a una versión parcheada lo antes posible.. Esta medida proactiva es esencial para mitigar amenazas potenciales y proteger contra las consecuencias destructivas de la campaña de minería de criptomonedas de Kinsing..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: