Kinsing kyberhyökkääjät kohdistavat Apache ActiveMQ -virheen salauksen kaivokseen

Kinsing-haittaohjelman takana olevat hyökkääjät ovat viimeisimmät, jotka käyttävät hyväkseen Apache ActiveMQ kriittinen etäkoodin suorittamisen (RCE) haavoittuvuus, joka kohdistuu virheeseen haavoittuvien Linux-järjestelmien saastuttamiseen kryptovaluutan kaivostyökalulla.

TrendMicron tutkijat havaitsivat hyökkääjät, jotka käyttivät puutetta hyväkseen – jäljitetty nimellä CVE-2023-46604 — louhia kryptovaluuttaa, mikä tyhjentää resurssit tartunnan saaneista Linux-järjestelmistä. ActiveMQ on Apache Software Foundationin (ASF) kehittämä avoimen lähdekoodin protokolla, joka toteuttaa viestiorientoituja väliohjelmistoja (MOM).

"Kerran Sukulaisuus saastuttaa järjestelmän, se ottaa käyttöön kryptovaluuttojen louhintaskriptin, joka hyödyntää isäntäkoneen resursseja louhiakseen kryptovaluuttoja, kuten Bitcoinia, mistä on seurauksena merkittävä vahinko infrastruktuurille ja negatiivinen vaikutus järjestelmän suorituskykyyn”, TrendMicro-tutkija Peter Girnus kirjoitti. lähettää julkaistu myöhään 20. marraskuuta.

Tutkijat valaisevat myös haavoittuvuuden perimmäistä syytä, joka vaikuttaa useisiin Apache ActiveMQ:n ja Apache ActiveMQ Legacy OpenWire -moduulin versioihin. Virhe sallii etähyökkääjän, jolla on pääsy ActiveMQ-sanomien välittäjään, suorittaa mielivaltaisia ​​komentoja järjestelmissä, joihin ongelma vaikuttaa.

Java-kielellä kirjoitettu ActiveMQ on Apachen kehittämä avoimen lähdekoodin protokolla, joka toteuttaa MOM (Message-oriented Middleware) -ohjelmiston. Sen päätehtävä on lähettää viestejä eri sovellusten välillä, mutta se sisältää myös lisäominaisuuksia, kuten STOMP, Jakarta Messaging (JMS) ja OpenWire.

ASF löysi vian ensimmäisen kerran 27. lokakuuta ja proof-of-konseptin hyväksikäyttökoodi seurasi pian. Vaikka säätiö siirtyi nopeasti korjaamaan CVE-2023-46604, uhkatoimijat ovat tuhlanneet vain vähän aikaa hyökätäkseen lukuisiin haavoittuvina oleviin järjestelmiin.

Korkean profiilin opportunisti

Trend Micron mukaan yksi näistä uhkaryhmistä, Kinsing, on jo tunnettu siitä, että se hyödyntää korkean profiilin puutteita kohdistaakseen Linux-järjestelmiä kryptovaluutan louhimiseen ja muihin ilkeisiin toimiin.

Aiempia Kinsing-kampanjoita ovat mm "Looney Tunablesin" hyödyntäminen bugi salaisuuksien ja tietojen varastamiseksi Linux-järjestelmistä sekä haavoittuvien kuvien ja heikosti määritettyjen PostgreSQL-säilöjen hyödyntämisestä Kubernetes-klustereissa päästäksesi alkuun järjestelmiin.

Hyökkäyksessään ActiveMQ:ta vastaan ​​ryhmä käyttää julkisia hyväksikäyttöjä, jotka hyödyntävät ProcessBuilder-menetelmää komentojen suorittamiseen vaikuttavissa järjestelmissä Kinsingin kryptovaluutan louhintalaitteiden ja haittaohjelmien lataamiseksi ja suorittamiseksi haavoittuvassa järjestelmässä TrendMicron mukaan.

Kinsingin hyökkäysstrategia on ainutlaatuinen siinä mielessä, että kun se tartuttaa järjestelmän, se etsii aktiivisesti kilpailevia krypto-kaivostyöntekijöitä - kuten Moneroon sidottuja tai Log4Shell- ja WebLogic-haavoittuvuuksia hyödyntäviä, Girnus huomautti.

"Sitten se tappaa heidän prosessinsa ja verkkoyhteydensä", hän kirjoitti. "Lisäksi Kinsing poistaa kilpailevat haittaohjelmat ja kaivostyöläiset tartunnan saaneen isännän crontabista."

Kun tämä on tehty, Kinsing-binäärille määritetään Linux-ympäristömuuttuja ja se suoritetaan, minkä jälkeen Kinsing lisää cronjobin ladatakseen ja suorittaakseen haitallisen bootstrap-skriptin minuutin välein. "Tämä varmistaa pysyvyyden asianomaisessa isännässä ja varmistaa myös, että uusin haitallinen Kinsing-binaari on saatavilla vaikutuksen alaisina oleville koneille", Girnus kirjoitti.

Itse asiassa Kinsing kaksinkertaistaa sinnikkyytensä ja kompromissinsa lataamalla rootkit-ohjelmistonsa /etc/ld.so.preload, "joka täydentää täydellisen järjestelmäkompromissin", hän lisäsi.

Perimmäinen syy ja lieventäminen

Tutkimuksessaan TrendMicro vertasi korjaustiedostoa järjestelmiin, jotka olivat haavoittuvia virheelle ja havaitsivat, että sen perimmäinen syy on "ongelma, joka liittyy heitettävien luokkatyyppien validointiin, kun OpenWire-komennot ovat ratkaisemattomia", viestin mukaan.

OpenWire on binääriprotokolla, joka on erityisesti suunniteltu työskentelemään MOM:n kanssa toimimaan ActiveMQ:n, laajalti käytetyn avoimen lähdekoodin viestintä- ja integrointialustan alkuperäisenä lankamuotona. Se on suositeltu muoto, koska se käyttää kaistanleveyttä tehokkaasti ja tukee monenlaisia ​​viestityyppejä.

Vian ydin on se valideIsThrowable menetelmä on sisällytetty joukkoon BaseDataStreamMarshall-luokka, joka ei pysty vahvistamaan Throwable-objektin tai objektin luokkatyyppiä, joka edustaa poikkeuksia ja virheitä Javassa. Tämä voi vahingossa luoda ja suorittaa minkä tahansa luokan esiintymiä, mikä johtaa RCE-haavoittuvuuksiin, Girnus sanoi.

"Siksi on olennaista varmistaa, että Throwablen luokkatyyppi on aina validoitu mahdollisten turvallisuusriskien estämiseksi", hän kirjoitti.

TrendMicro-tutkijat, kuten muutkin tietoturva-asiantuntijat, kehottivat Apache ActiveMQ:ta käyttäviä organisaatioita ryhtymään välittömiin toimiin virheen korjaamiseksi sekä minimoimaan muita Kinsingiin liittyviä riskejä.

”Koska haittaohjelmat voivat levitä verkkojen yli ja hyödyntää useita haavoittuvuuksia, on tärkeää pitää ajan tasalla tietoturvakorjaukset, säännöllisesti tarkastaa määritykset ja seurata verkkoliikennettä epätavallisen toiminnan varalta, jotka kaikki ovat kriittisiä komponentteja kattavassa kyberturvallisuusstrategiassa. ”, Girnus kirjoitti.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/kinsing-cyberattackers-target-apache-activemq-flaw-to-mine-crypto