Les auteurs de la menace Kinsing ont récemment commencé à exploiter une faille de sécurité critique dans les serveurs Apache ActiveMQ vulnérables. (CVE-2023-46604). Cette décision stratégique leur permet d'infecter les systèmes Linux, déploiement mineurs de crypto-monnaie et rootkits pour des gains illicites.
Le groupe de menace adaptable Kinsing
Peter Girnus, chercheur en sécurité chez Trend Micro, met en lumière la gravité de la situation, expliquant qu'une fois que Kinsing infiltre un système, il déploie un script de minage de cryptomonnaie. Ce script exploite les ressources de l'hôte pour extraire des crypto-monnaies comme Bitcoin, causant des dommages importants à l’infrastructure et ayant un impact négatif sur les performances du système.
Kinsing n'est pas étranger au domaine de la cybersécurité, représentant un malware Linux avec un historique notoire de ciblage d'environnements conteneurisés mal configurés pour l'extraction de crypto-monnaie. Les acteurs de la menace derrière Kinsing savent parfaitement utiliser les ressources du serveur compromises pour générer des profits illicites..
Ce qui distingue Kinsing, c'est sa capacité à s'adapter rapidement. Le groupe garde une longueur d'avance en intégrant des failles récemment révélées dans les applications Web pour violer les réseaux cibles et fournir des mineurs de crypto.. Des rapports récents mettent en évidence les tentatives des acteurs malveillants d'exploiter une faille d'élévation de privilèges Linux appelée Looney Tunables., révélant leur quête continue d'infiltration des environnements cloud.
Kinsing exploite désormais CVE-2023-46604
La campagne actuelle de Kinsing implique l'exploitation de CVE-2023-46604, une vulnérabilité critique activement exploitée dans Apache ActiveMQ avec un score CVSS de 10.0. Cette vulnérabilité permet exécution de code distant, permettre aux adversaires de télécharger et d'installer le malware Kinsing sur des systèmes compromis.
Les étapes suivantes consistent à récupérer des charges utiles supplémentaires à partir d'un domaine contrôlé par un acteur tout en prenant simultanément des mesures pour mettre fin aux mineurs de crypto-monnaie concurrents opérant déjà sur le système infecté..
Pour consolider davantage sa persistance et son compromis, Kinsing va encore plus loin en chargeant son rootkit dans /etc/ld.so.preload, réaliser un compromis complet sur le système, selon Girnus.
En réponse à l’exploitation continue de cette faille critique, il est fortement conseillé aux organisations exécutant des versions concernées d'Apache ActiveMQ de mettre à jour rapidement vers une version corrigée.. Cette mesure proactive est essentielle pour atténuer les menaces potentielles et se prémunir contre les conséquences destructrices de la campagne d'extraction de cryptomonnaie de Kinsing..
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: