Gli autori delle minacce Kinsing hanno recentemente iniziato a sfruttare una falla di sicurezza critica nei server vulnerabili Apache ActiveMQ (CVE-2023-46604). Questa mossa strategica consente loro di infettare i sistemi Linux, schieramento minatori criptovaluta e rootkit per guadagni illeciti.
Il gruppo di minaccia Kinsing adattabile
Il ricercatore di sicurezza di Trend Micro Peter Girnus fa luce sulla gravità della situazione, spiegando che una volta Kinsing si infiltra in un sistema, distribuisce uno script di mining di criptovaluta. Questo script sfrutta le risorse dell'host per estrarre criptovalute come Bitcoin, causando danni sostanziali all’infrastruttura e incidendo negativamente sulle prestazioni del sistema.
Kinsing non è estraneo al regno della sicurezza informatica, che rappresenta un malware Linux con una famigerata storia di targeting di ambienti containerizzati mal configurati per il mining di criptovaluta. Gli autori delle minacce dietro Kinsing sono abili nell'utilizzare le risorse dei server compromessi per generare profitti illecitamente.
Ciò che distingue Kinsing è la sua capacità di adattarsi rapidamente. Il gruppo rimane all'avanguardia incorporando i difetti appena scoperti nelle applicazioni web per violare le reti target e fornire minatori di criptovalute. Rapporti recenti evidenziano i tentativi dell'autore della minaccia di sfruttare un difetto di escalation dei privilegi di Linux chiamato Looney Tunables, rivelando la loro continua ricerca di infiltrarsi negli ambienti cloud.
Kinsing ora sfrutta CVE-2023-46604
L'attuale campagna di Kinsing prevede lo sfruttamento di CVE-2023-46604, una vulnerabilità critica attivamente sfruttata in Apache ActiveMQ con un punteggio CVSS di 10.0. Questa vulnerabilità lo consente esecuzione di codice remoto, consentendo agli hacker di scaricare e installare il malware Kinsing su sistemi compromessi.
I passaggi successivi prevedono il recupero di ulteriori payload da un dominio controllato dall'attore e contemporaneamente l'adozione di misure per terminare i minatori di criptovaluta concorrenti che già operano sul sistema infetto.
Per consolidare ulteriormente la sua persistenza e il suo compromesso, Kinsing fa un ulteriore passo avanti caricando il suo rootkit /etc/ld.so.preload, completando una compromissione completa del sistema, secondo Girnus.
In risposta al continuo sfruttamento di questo difetto critico, si consiglia vivamente alle organizzazioni che utilizzano versioni interessate di Apache ActiveMQ di aggiornarsi tempestivamente a una versione con patch. Questa misura proattiva è essenziale per mitigare potenziali minacce e salvaguardarsi dalle conseguenze distruttive della campagna di mining di criptovaluta di Kinsing.