Os atores da ameaça Kinsing começaram recentemente a explorar uma falha crítica de segurança em servidores Apache ActiveMQ vulneráveis (CVE-2023-46604). Este movimento estratégico permite-lhes infectar sistemas Linux, implantando mineiros criptomoeda e rootkits para ganhos ilícitos.
O Grupo de Ameaça Adaptável Kinsing
O pesquisador de segurança da Trend Micro, Peter Girnus, esclarece a gravidade da situação, explicando que uma vez que Kinsing se infiltra em um sistema, ele implanta um script de mineração de criptomoeda. Este script aproveita os recursos do host para extrair criptomoedas como Bitcoin, causando danos substanciais à infraestrutura e impactando negativamente o desempenho do sistema.
Kinsing conhece bem o domínio da segurança cibernética, representando um malware Linux com um histórico notório de direcionamento a ambientes em contêineres mal configurados para mineração de criptomoedas. Os atores de ameaças por trás do Kinsing são adeptos da utilização de recursos de servidor comprometidos para gerar lucros ilicitamente.
O que diferencia Kinsing é sua capacidade de adaptação rápida. O grupo permanece à frente da curva ao incorporar falhas recentemente divulgadas em aplicativos da web para violar redes alvo e fornecer mineradores de criptografia. Relatórios recentes destacam as tentativas do agente da ameaça de explorar uma falha de escalonamento de privilégios do Linux chamada Looney Tunables, revelando sua busca contínua de infiltração em ambientes de nuvem.
Kinsing agora explorando CVE-2023-46604
A campanha atual da Kinsing envolve a exploração de CVE-2023-46604, uma vulnerabilidade crítica explorada ativamente no Apache ActiveMQ com uma pontuação CVSS de 10.0. Esta vulnerabilidade permite execução remota de código, permitindo que adversários baixem e instalem o malware Kinsing em sistemas comprometidos.
As etapas subsequentes envolvem a recuperação de cargas adicionais de um domínio controlado pelo ator e, ao mesmo tempo, a tomada de medidas para encerrar mineradores de criptomoedas concorrentes que já operam no sistema infectado..
Para solidificar ainda mais a sua persistência e compromisso, Kinsing vai um passo além ao carregar seu rootkit em /etc/ld.so.preload, completando um comprometimento total do sistema, de acordo com Girnus.
Em resposta à exploração contínua desta falha crítica, organizações que executam versões afetadas do Apache ActiveMQ são fortemente aconselhadas a atualizar para uma versão corrigida imediatamente. Esta medida proativa é essencial para mitigar ameaças potenciais e proteger contra as consequências destrutivas da campanha de mineração de criptomoedas da Kinsing.