Die Kinsing-wanware ontgin Apache ActiveMQ RCE om rootkits te plant

By Marizas Dimitris On 20 Nov 2023

Die Kinsing-wanware-operateur ontgin aktief die kritieke kwesbaarheid CVE-2023-46604 in die Apache ActiveMQ oopbronboodskapmakelaar om Linux-stelsels te kompromitteer.

Το ελάττωμα επιτρέπει την απομακρυσμένη εκτέλεση κώδικα και επιδιορθώθηκε στα τέλη Οκτωβρίου. Η αποκάλυψη του Apache εξηγεί όwat το ζήτημα επιτρέπει την εκτέλεση αυθαίρετων εντολών φλοιού αξιοποιώντας σειριακούς τύπους κλάσεων στο πρωτόκολλο OpenWire.

Navorsers het bevind dat duisende bedieners aan aanvalle blootgestel gebly het nadat die pleister vrygestel is, en ransomware-bendes soos HelloKitty en TellYouThePass het die geleentheid begin benut.

ActiveMQ affiniteit teikens

Vandag merk 'n verslag van TrendMicro op dat Kinsing bygevoeg word by die lys van bedreigingsakteurs wat CVE-2023-46604 uitbuit om mynwerkers te ontplooi kriptomunte op kwesbare bedieners.

Το κακόβουλο λογισμικό Kinsing στοχεύει συστήματα Linux και ο χειριστής του είναι διαβόητος για την αξιοποίηση γνωστών ελαττωμάτων που συχνά παραβλέπονται από τους διαχειριστές του συστήματος. Προηγουμένως, βασίζονταν στο Log4Shell και ένα σφάλμα Atlassian Confluence RCE για τις επιθέσεις τους.

"Daar is tans bestaande openbare ontginnings wat die ProcessBuilder-metode gebruik om opdragte op geaffekteerde stelsels uit te voer," verduidelik die navorsers.

"Binne Kinsing word CVE-2023-46604 uitgebuit om kriptogeldontginning en Kinsing-wanware op 'n kwesbare stelsel af te laai en uit te voer" - Trend Micro

Το κακόβουλο λογισμικό χρησιμοποιεί τη μέθοδο «ProcessBuilder» για την εκτέλεση κακόβουλων σεναρίων bash και τη λήψη πρόσθετων ωφέλιμων φορτίων στη μολυσμένη συσκευή μέσα από διαδικασίες που δημιουργήθηκαν πρόσφατα σε επίπεδο συστήματος.

Το κακόβουλο λογισμικό Kinsing εκμεταλλεύεται το Apache ActiveMQ RCE για να φυτέψει rootkits, Το κακόβουλο λογισμικό Kinsing εκμεταλλεύεται το Apache ActiveMQ RCE για να φυτέψει rootkits, TechWar.gr — **Laai binêre en loonvragte af** *(Trend Micro)*

Die voordeel van hierdie metode is dat dit die malware toelaat om komplekse opdragte en skrifte uit te voer met 'n hoë mate van beheer en buigsaamheid, terwyl opsporing vermy word.

Πριν από την εκκίνηση του εργαλείου εξόρυξης κρυπτονομισμάτων, το Kinsing ελέγχει το μηχάνημα για ανταγωνιστικούς εξορύκτες Monero σκοτώνοντας τυχόν σχετικές διεργασίες, crontabs και ενεργές συνδέσεις δικτύου.

Μετά από αυτό, δημιουργεί την volharding μέσω ενός cronjob που ανακτά την πιο πρόσφατη έκδοση του σεναρίου μόλυνσης (bootstrap) και προσθέτει επίσης ένα rootkit στο ‘/etc/ld.so.preload'.

Die /etc-gids op Linux-stelsels huisves tipies stelselkonfigurasielêers, stelselopstartuitvoerbare programme en sommige loglêers, dus biblioteke in hierdie ligging word gelaai voordat 'n program se proses begin.

In hierdie geval verseker die byvoeging van 'n rootkit dat die kode daarvan uitgevoer word deur elke proses wat op die stelsel begin word, terwyl dit relatief sluimerig bly en moeilik is om te verwyder.

Namate die aantal bedreigingsakteurs wat CVE-2023-46604 uitbuit, toeneem, bly organisasies in baie sektore in gevaar as hulle nie die kwesbaarheid regmaak of na tekens van kompromie kyk nie.

Om die bedreiging te versag, word stelseladministrateurs aangeraai om Apache Active MQ op te gradeer na weergawes 5.15.16, 5.16.7, 5.17.6 of 5.18.3, wat die sekuriteitskwessie aanspreek.

VIA: bleepingcomputer.com

Soortgelyke artikels