Kinsing hotaktörer utnyttjar aktivt ett kritiskt säkerhetsbrist i sårbara Apache ActiveMQ servrar för att infektera Linux system med miners för kryptovaluta och rootkits.
"När Kinsing infekterar ett system, distribuerar det ett skript för brytning av kryptovalutor som utnyttjar värdens resurser för att bryta kryptovalutor som Bitcoin, vilket resulterar i betydande skada på infrastrukturen och en negativ inverkan på systemets prestanda", säger Trend Micros säkerhetsforskare Peter Girnus.
Kinsing hänvisar till en Linux skadlig kod med en historia av att inrikta sig på felkonfigurerade containermiljöer för brytning av kryptovaluta, ofta med användning av komprometterade serverresurser för att generera olagliga vinster för hotaktörerna.
Gruppen är också känd för att snabbt anpassa sin taktik för att inkludera nyligen avslöjade brister i webbapplikationer för att bryta mot målnätverk och leverera krypto miners. Tidigare denna månad avslöjade Aqua hotaktörens försök att utnyttja ett Linux privilegieupptrappningsfel som heter Looney Tunables för att infiltrera molnmiljöer.
Den senaste kampanjen innebär missbruk av CVE-2023-46604 (CVSS poäng: 10,0), en aktivt utnyttjad kritisk sårbarhet i Apache ActiveMQ som möjliggör fjärrkörning av kod, vilket tillåter motståndaren att ladda ner och installera Kinsing skadlig programvara.
Detta följs av att man hämtar ytterligare nyttolaster från en aktörskontrollerad domän samtidigt som man vidtar åtgärder för att avsluta konkurrerande miners för kryptovaluta som redan körs på det infekterade systemet.
"Kinsing fördubblar sin uthållighet och kompromiss genom att ladda sitt rootkit i /etc/ld.so.preload, vilket fullbordar en fullständig systemkompromiss", säger Girnus.
I ljuset av det fortsatta utnyttjandet av felet rekommenderas organisationer som kör berörda versioner av Apache ActiveMQ att uppdatera till en korrigerad version så snart som möjligt för att mildra potentiella hot.
Avslöjandet kommer när AhnLab Security Emergency Response Center (ASEC) varnar för cyberattacker som riktar sig mot sårbara Apachewebbservrar för en kryptojackningskampanj som utnyttjar Cobalt Strike eller Gh0st RAT för att leverera en kryptovalut miners.
Inga kommentarer:
Skicka en kommentar