De aanvallers achter de Kinsing-malware zijn de laatsten die misbruik maken van de Apache ActiveMQ kritieke kwetsbaarheid voor het uitvoeren van externe code (RCE), gericht op de fout om kwetsbare Linux-systemen te infecteren met een cryptocurrency-mijnwerker.
Onderzoekers van TrendMicro ontdekten dat aanvallers misbruik maakten van de fout CVE-2023-46604 – om cryptocurrency te minen, waardoor de bronnen van geïnfecteerde Linux-systemen worden uitgeput. ActiveMQ is een open source-protocol ontwikkeld door de Apache Software Foundation (ASF) dat berichtgeoriënteerde middleware (MOM) implementeert.
"Een keer Verwantschap een systeem infecteert, zet het een cryptocurrency-mining-script in dat de bronnen van de host exploiteert om cryptocurrencies zoals Bitcoin te minen, wat resulteert in aanzienlijke schade aan de infrastructuur en een negatieve impact op de systeemprestaties”, schreef TrendMicro-onderzoeker Peter Girnus in zijn om te posten gepubliceerd eind november 20.
De onderzoekers werpen ook nieuw licht op de hoofdoorzaak van de kwetsbaarheid, die meerdere versies van Apache ActiveMQ en Apache ActiveMQ Legacy OpenWire Module treft. Door de fout kan een externe aanvaller met toegang tot een ActiveMQ-berichtenbroker willekeurige opdrachten uitvoeren op getroffen systemen.
ActiveMQ, geschreven in Java, is een open-sourceprotocol ontwikkeld door Apache dat berichtgeoriënteerde middleware (MOM) implementeert. De belangrijkste functie is het verzenden van berichten tussen verschillende applicaties, maar het bevat ook extra functies zoals STOMP, Jakarta Messaging (JMS) en OpenWire.
ASF ontdekte de fout voor het eerst op 27 oktober en proof-of-concept exploitcode volgde spoedig. Hoewel de stichting snel actie ondernam om CVE-2023-46604 te patchen, hebben cybercriminelen weinig tijd verspild met het aanvallen van de talloze systemen die nog steeds kwetsbaar zijn.
Hooggeprofileerde opportunist
Eén van deze dreigingsgroepen, Kinsing, staat er al om bekend dat zij misbruik maken van spraakmakende fouten om Linux-systemen aan te vallen om cryptocurrency te minen en andere snode activiteiten te begaan, aldus Trend Micro.
Eerdere Kinsing-campagnes omvatten exploitatie van de “Looney Tunables” bug om geheimen en gegevens van Linux-systemen te stelen en kwetsbare afbeeldingen en zwak geconfigureerde PostgreSQL-containers te exploiteren in Kubernetes-clusters om initiële toegang tot systemen te verkrijgen.
Bij de aanval op ActiveMQ maakt de groep gebruik van publieke exploits die gebruik maken van de ProcessBuilder-methode om opdrachten uit te voeren op getroffen systemen om Kinsing cryptocurrency miners en malware te downloaden en uit te voeren op een kwetsbaar systeem, aldus TrendMicro.
De aanvalsstrategie van Kinsing is uniek omdat het, zodra het een systeem infecteert, actief op zoek gaat naar concurrerende cryptominers – zoals degenen die aan Monero zijn gekoppeld of degenen die de kwetsbaarheden van Log4Shell en WebLogic misbruiken, merkte Girnus op.
“Vervolgens worden hun processen en netwerkverbindingen beëindigd”, schreef hij. “Bovendien verwijdert Kinsing concurrerende malware en miners uit de crontab van de geïnfecteerde host.”
Zodra dit is gebeurd, wordt aan het Kinsing-binaire bestand een Linux-omgevingsvariabele toegewezen en uitgevoerd, waarna Kinsing elke minuut een cronjob toevoegt om het kwaadaardige bootstrap-script te downloaden en uit te voeren. “Dit zorgt voor persistentie op de getroffen host en zorgt er ook voor dat het nieuwste kwaadaardige Kinsing-binaire bestand beschikbaar is op de getroffen hosts”, schreef Girnus.
In feite verdubbelt Kinsing zijn volharding en compromissen door zijn rootkit in te laden /etc/ld.so.preload, “wat een volledig systeemcompromis voltooit”, voegde hij eraan toe.
Oorzaak en mitigatie
In hun onderzoek vergeleek TrendMicro de patch met systemen die kwetsbaar zijn voor de fout en ontdekte dat de hoofdoorzaak ervan “een probleem is dat betrekking heeft op de validatie van throwable class-types wanneer OpenWire-opdrachten zijn niet geordend”, aldus de post.
OpenWire is een binair protocol dat speciaal is ontworpen voor het werken met MOM en dient als het native wire-formaat van ActiveMQ, een veelgebruikt open source berichten- en integratieplatform. Het is een voorkeursformaat vanwege het efficiënte gebruik van bandbreedte en de mogelijkheid om een breed scala aan berichttypen te ondersteunen.
Het probleem dat ten grondslag ligt aan de fout is dat validateIsThrowable-methode is opgenomen in de BaseDataStreamMarshall-klasse, die er niet in slaagt het klassentype van een Throwable te valideren, of een object dat uitzonderingen en fouten in Java vertegenwoordigt. Dit kan per ongeluk instances van elke klasse creëren en uitvoeren, wat resulteert in RCE-kwetsbaarheden, zei Girnus.
“Daarom is het essentieel om ervoor te zorgen dat het klassetype van een Throwable altijd wordt gevalideerd om potentiële veiligheidsrisico’s te voorkomen”, schreef hij.
Onderzoekers van TrendMicro hebben, net als andere beveiligingsexperts, er bij organisaties die Apache ActiveMQ gebruiken op aangedrongen onmiddellijk actie te ondernemen om de fout te verhelpen en alle andere risico's die aan Kinsing zijn verbonden te beperken.
“Gezien het vermogen van de malware om zich over netwerken te verspreiden en meerdere kwetsbaarheden te misbruiken, is het belangrijk om up-to-date beveiligingspatches te behouden, configuraties regelmatig te controleren en netwerkverkeer te controleren op ongebruikelijke activiteiten, allemaal cruciale componenten van een alomvattende cyberbeveiligingsstrategie. ”, schreef Girnus.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/attacks-breaches/kinsing-cyberattackers-target-apache-activemq-flaw-to-mine-crypto
- : heeft
- :is
- 20
- 27
- a
- vermogen
- toegang
- Volgens
- over
- Actie
- actief
- activiteit
- actoren
- toegevoegd
- Extra
- Voegt
- Voordeel
- beïnvloed
- beïnvloedt
- Na
- Alles
- toestaat
- al
- ook
- altijd
- an
- en
- elke
- apache
- toepassingen
- ZIJN
- AS
- toegewezen
- geassocieerd
- At
- aanvallen
- controleren
- Beschikbaar
- bandbreedte
- geweest
- achter
- tussen
- Bitcoin
- Bootstrap
- makelaar
- Bug
- maar
- by
- Campagnes
- CAN
- Veroorzaken
- klasse
- code
- plegen
- vergeleken
- concurrerende
- voltooit
- componenten
- uitgebreid
- compromis
- configuraties
- geconfigureerd
- aansluitingen
- containers
- en je merk te creëren
- kritisch
- crypto
- crypto-mijnwerkers
- cryptocurrencies
- cryptogeld
- cryptocurrency-mijnwerkers
- Cybersecurity
- schade
- gegevens
- ontplooit
- ontworpen
- gedetecteerd
- ontwikkelde
- anders
- ontdekt
- gedaan
- dubbelspel
- beneden
- Download
- twee
- doeltreffend
- verzekeren
- waarborgt
- Milieu
- fouten
- essentieel
- Ether (ETH)
- Alle
- uitvoeren
- uitgevoerd
- uitvoering
- deskundigen
- Exploiteren
- uitbuiten
- exploits
- feit
- mislukt
- Voordelen
- Voornaam*
- fout
- gebreken
- gevolgd
- Voor
- formaat
- gevonden
- Foundation
- oppompen van
- vol
- functie
- Bovendien
- Krijgen
- gegeven
- Groep
- Groep
- Hebben
- he
- Hart
- spraakmakend
- gastheer
- hosts
- HTML
- HTTPS
- afbeeldingen
- Onmiddellijk
- Impact
- gereedschap
- belangrijk
- in
- omvatten
- inclusief
- omvat
- Infrastructuur
- eerste
- gevallen
- integratie
- onderzoek
- kwestie
- IT
- HAAR
- Java
- jpg
- Doden
- Kubernetes
- Laat
- laatste
- Nalatenschap
- Hefboomwerking
- licht
- als
- linux
- Elke kleine stap levert grote resultaten op!
- het laden
- Log4Shell
- LOOKS
- Hoofd
- onderhouden
- malware
- Bericht
- berichten
- messaging
- methode
- micro-
- de mijne
- mijn crypto
- mijnwerker
- Mijnwerkers
- minuut
- Verzachten
- module
- mama
- Monero
- monitor
- verplaatst
- meervoudig
- veelvoud
- inheemse
- negatief
- netwerk
- netwerk verkeer
- netwerken
- New
- bekend
- november
- object
- oktober
- of
- on
- eens
- degenen
- open
- open source
- or
- organisaties
- Overige
- Patch
- Patches
- prestatie
- volharding
- Behorend
- Peter
- platform
- Plato
- Plato gegevensintelligentie
- PlatoData
- Post
- postgresql
- potentieel
- bij voorkeur
- voorkomen
- opbrengst
- processen
- protocol
- publiek
- gepubliceerde
- snel
- reeks
- regelmatig
- blijven
- vanop
- verwijdert
- vertegenwoordigt
- onderzoeker
- onderzoekers
- Resources
- verkregen
- risico's
- wortel
- s
- Zei
- script
- geheimen
- veiligheid
- veiligheidsrisico's
- sturen
- dienen
- werpen
- aanzienlijke
- So
- Software
- Spoedig
- bron
- specifiek
- verspreiden
- Strategie
- dergelijk
- ondersteuning
- system
- Systems
- Nemen
- het nemen
- doelwit
- targeting
- dat
- De
- hun
- harte
- daarom
- dit
- die
- toch?
- bedreiging
- bedreigingsactoren
- Dus
- Gebonden
- niet de tijd of
- naar
- verkeer
- trend
- Trend Micro
- type dan:
- types
- unieke
- ongebruikelijk
- up-to-date
- .
- gebruikt
- toepassingen
- gebruik
- BEVESTIG
- gevalideerd
- bevestiging
- variabele
- versies
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- verspild
- GOED
- bekend
- wanneer
- welke
- breed
- Grote range
- wijd
- Draad
- Met
- werkzaam
- geschreven
- schreef
- zephyrnet
