Los atacantes detrás del malware Kinsing son los últimos en explotar el Apache Active MQ Vulnerabilidad crítica de ejecución remota de código (RCE), cuyo objetivo es infectar sistemas Linux vulnerables con un minero de criptomonedas.
Los investigadores de TrendMicro detectaron atacantes que aprovechaban la falla, rastreados como CVE-2023-46604 – para extraer criptomonedas, drenando así los recursos de los sistemas Linux infectados. ActiveMQ es un protocolo de código abierto desarrollado por Apache Software Foundation (ASF) que implementa middleware orientado a mensajes (MOM).
"Una vez Parentesco "Infecta un sistema, implementa un script de minería de criptomonedas que explota los recursos del host para extraer criptomonedas como Bitcoin, lo que provoca daños significativos a la infraestructura y un impacto negativo en el rendimiento del sistema", escribió el investigador de TrendMicro Peter Girnus en para publicar publicado a finales del 20 de noviembre.
Los investigadores también arrojan nueva luz sobre la causa raíz de la vulnerabilidad, que afecta a múltiples versiones de Apache ActiveMQ y Apache ActiveMQ Legacy OpenWire Module. La falla permite que un atacante remoto con acceso a un intermediario de mensajes ActiveMQ ejecute comandos arbitrarios en los sistemas afectados.
ActiveMQ, escrito en Java, es un protocolo de código abierto desarrollado por Apache que implementa middleware orientado a mensajes (MOM). Su función principal es enviar mensajes entre diferentes aplicaciones, pero también incluye funciones adicionales como STOMP, Jakarta Messaging (JMS) y OpenWire.
ASF descubrió la falla por primera vez el 27 de octubre y código de explotación de prueba de concepto pronto siguió. Aunque la fundación actuó rápidamente para parchear CVE-2023-46604, los actores de amenazas han perdido poco tiempo atacando los innumerables sistemas que siguen siendo vulnerables.
Oportunista de alto perfil
Uno de esos grupos de amenazas, Kinsing, ya es conocido por aprovechar fallas de alto perfil para atacar sistemas Linux para extraer criptomonedas y cometer otras actividades nefastas, según Trend Micro.
Las campañas anteriores de Kinsing incluyen explotando los “Looney Tunables” error para robar secretos y datos de sistemas Linux y explotar imágenes vulnerables y contenedores PostgreSQL débilmente configurados en clústeres de Kubernetes para obtener acceso inicial a los sistemas.
En su ataque a ActiveMQ, el grupo utiliza exploits públicos que aprovechan el método ProcessBuilder para ejecutar comandos en los sistemas afectados para descargar y ejecutar mineros de criptomonedas Kinsing y malware en un sistema vulnerable, según TrendMicro.
La estrategia de ataque de Kinsing es única porque una vez que infecta un sistema, busca activamente mineros criptográficos competidores, como los vinculados a Monero o los que explotan las vulnerabilidades de Log4Shell y WebLogic, señaló Girnus.
"Luego procede a eliminar sus procesos y conexiones de red", escribió. "Además, Kinsing elimina el malware y los mineros de la competencia del crontab del host infectado".
Una vez hecho esto, al binario de Kinsing se le asigna una variable de entorno de Linux y se ejecuta, después de lo cual Kinsing agrega un cronjob para descargar y ejecutar su script de arranque malicioso cada minuto. "Esto garantiza la persistencia en el host afectado y también garantiza que el último binario malicioso Kinsing esté disponible en los hosts afectados", escribió Girnus.
De hecho, Kinsing duplica su persistencia y compromiso al cargar su rootkit en /etc/ld.so.precargar, "lo que completa un compromiso completo del sistema", añadió.
Causa raíz y mitigación
En su investigación, TrendMicro comparó el parche con sistemas vulnerables a la falla y descubrió que su causa principal es "un problema relacionado con la validación de tipos de clases desechables cuando Comandos OpenWire están descontrolados”, según la publicación.
OpenWire es un protocolo binario diseñado específicamente para trabajar con MOM y servir como formato de conexión nativo de ActiveMQ, una plataforma de integración y mensajería de código abierto ampliamente utilizada. Es un formato preferido debido a su uso eficiente del ancho de banda y su capacidad para admitir una amplia gama de tipos de mensajes.
El problema central del defecto es que método validarIsThrowable ha sido incluido en el Clase BaseDataStreamMarshall, que no puede validar el tipo de clase de un Throwable o un objeto que representa excepciones y errores en Java. Esto puede crear y ejecutar accidentalmente instancias de cualquier clase, lo que resulta en vulnerabilidades RCE, dijo Girnus.
"Por lo tanto, es esencial garantizar que el tipo de clase de Throwable esté siempre validado para evitar posibles riesgos de seguridad", escribió.
Los investigadores de TrendMicro, al igual que otros expertos en seguridad, instaron a las organizaciones que utilizan Apache ActiveMQ a tomar medidas inmediatas para corregir la falla, así como a mitigar cualquier otro riesgo asociado con Kinsing.
“Dada la capacidad del malware para propagarse a través de redes y explotar múltiples vulnerabilidades, es importante mantener parches de seguridad actualizados, auditar periódicamente las configuraciones y monitorear el tráfico de la red para detectar actividades inusuales, todos los cuales son componentes críticos de una estrategia integral de ciberseguridad. ”, escribió Girnus.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/kinsing-cyberattackers-target-apache-activemq-flaw-to-mine-crypto
