Kinsing Threat Group maakt nu misbruik van kritieke CVE-2023-46604

De Kinsing-bedreigingsactoren zijn onlangs begonnen met het misbruiken van een kritieke beveiligingsfout in kwetsbare Apache ActiveMQ-servers (CVE-2023-46604). Deze strategische zet stelt hen in staat Linux-systemen te infecteren, inzetten cryptogeld mijnwerkers en rootkits voor onrechtmatige winsten.

De aanpasbare verwantschapsdreigingsgroep

Trend Micro-beveiligingsonderzoeker Peter Girnus werpt licht op de ernst van de situatie, uitleggen dat zodra Kinsing een systeem infiltreert, het maakt gebruik van een cryptocurrency mining-script. Dit script maakt gebruik van de bronnen van de host om cryptocurrencies zoals Bitcoin te minen, waardoor aanzienlijke schade aan de infrastructuur wordt toegebracht en de systeemprestaties negatief worden beïnvloed.

Kinsing is geen onbekende op het gebied van cyberbeveiliging, Het vertegenwoordigt een Linux-malware met een beruchte geschiedenis van het aanvallen van verkeerd geconfigureerde containeromgevingen voor cryptocurrency-mining. De bedreigingsactoren achter Kinsing zijn bedreven in het gebruiken van gecompromitteerde serverbronnen om op illegale wijze winst te genereren.

Wat Kinsing onderscheidt, is het vermogen om zich snel aan te passen. De groep blijft voorop lopen door nieuw onthulde fouten in webapplicaties op te nemen om doelnetwerken te doorbreken en cryptominers te leveren. Recente rapporten benadrukken de pogingen van de bedreigingsacteur om misbruik te maken van een escalatiefout in Linux-privileges genaamd Looney Tunables, waaruit hun voortdurende zoektocht naar infiltrerende cloudomgevingen blijkt.

Kinsing maakt nu gebruik van CVE-2023-46604

De huidige campagne van Kinsing omvat de exploitatie van CVE-2023-46604, een actief uitgebuit kritieke kwetsbaarheid in Apache ActiveMQ met een CVSS-score van 10.0. Deze kwetsbaarheid maakt dit mogelijk uitvoering van externe code, waardoor kwaadwillenden de Kinsing-malware kunnen downloaden en installeren op aangetaste systemen.

De daaropvolgende stappen omvatten het ophalen van extra ladingen uit een door een actor gecontroleerd domein en tegelijkertijd het nemen van maatregelen om concurrerende cryptocurrency-mijnwerkers die al op het geïnfecteerde systeem actief zijn, te beëindigen..

Om zijn volharding en compromis verder te versterken, Kinsing gaat nog een stap verder door zijn rootkit in te laden /etc/ld.so.preload, het voltooien van een volledig systeemcompromis, volgens Girnus.

Als reactie op de voortdurende exploitatie van deze kritieke fout, Organisaties die getroffen versies van Apache ActiveMQ gebruiken, worden sterk aangeraden om onmiddellijk te updaten naar een gepatchte versie. Deze proactieve maatregel is essentieel voor het beperken van potentiële bedreigingen en het beschermen tegen de destructieve gevolgen van de cryptocurrency-miningcampagne van Kinsing.