MKD-CIRT National Centre for Computer Incident Response
Акторите за закана Kinsing активно го искористуваат критичниот безбедносен пропуст во ранливите сервери на Apache ActiveMQ за да ги заразат системите на Линукс со рудари за криптовалути и rootkits.< /span>
“Штом Kinsing ќе зарази систем, тој распоредува скрипта за ископување криптовалути која ги искористува ресурсите на домаќинот за рудирање криптовалути како Bitcoin, што резултира со значителна штета на инфраструктурата и негативно влијание врз перформансите на системот,” ; Истражувачот за безбедност на Trend Micro, Питер Гирнус рече.
Kinsing се однесува на Linux malware со историја на таргетирање погрешно конфигурирани контејнеризирани средини за ископување криптовалути, често користи компромитирани ресурси на серверот за да генерира незаконски профит за актерите на заканата.
Групата е исто така позната по тоа што брзо ги прилагодува своите тактики за да ги вклучи новооткриените недостатоци во веб-апликациите за да ги пробие целните мрежи и да испорача крипто-рудари. Претходно овој месец, Aqua disclosed обидите на актерот за закана да го искористи пропустот за ескалација на привилегијата на Linux наречен Looney Tunables за да се инфилтрира во облак средини.
Пoследната кампања вклучува злоупотреба на CVE-2023-46604 (CVSS резултат: 10.0), активно искористена критична ранливост во Apache ActiveMQ што овозможува далечинско извршување на кодот, дозволувајќи му на противникот да го преземе и инсталира малициозниот софтвер Kinsing.
Ова е проследено со преземање дополнителни носивост од домен контролиран од актерот, а истовремено преземање чекори за прекинување на конкурентните рудари за криптовалути кои веќе работат на заразениот систем.
“Kinsing ја удвојува својата упорност и компромис со loading its rootkit во /etc/ld.so.preload, со што се комплетира целосен системски компромис,” рече Гирнус.
Со оглед на континуираната експлоатација на пропустот, на организациите што користат засегнати верзии на Apache ActiveMQ им се препорачува да се ажурираат на закрпена верзија што е можно поскоро за да се ублажат потенцијалните закани.
Извор: thehackernews