Cryptojacking grubu olarak bilinen akrabalık Arsenal’den yararlanmak ve botnet’ini genişletmek için yeni açıklanan güvenlik açıklarını hızlı bir şekilde entegre ederek kalıcı bir tehdit olduğunu kanıtlayarak sürekli gelişme ve uyum sağlama yeteneğini kanıtladı.
Bulgular, tehdit aktörünün 2019’dan bu yana aktif olarak yasadışı kripto para birimi madenciliği kampanyaları düzenlediğini belirten bulut güvenlik firması Aqua’dan geliyor.
Hem kötü amaçlı yazılıma hem de arkasındaki düşmana verilen bir isim olan Kinsing (diğer adıyla H2Miner), virüslü sistemleri bir kripto madenciliği botnet’ine kaydetmek için araç setini sürekli olarak yeni güvenlik açıklarıyla genişletti. İlk olarak TrustedSec tarafından Ocak 2020’de belgelendi.
Son yıllarda Golang tabanlı kötü amaçlı yazılımı içeren kampanyalar, Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server ve SaltStack’teki çeşitli kusurları savunmasız sistemleri ihlal etmek için silah olarak kullandı.
Diğer yöntemler arasında, ilk erişimi elde etmek için yanlış yapılandırılmış Docker, PostgreSQL ve Redis örneklerinden yararlanılması da yer alıyor; bundan sonra uç noktalar, kripto madenciliği için bir botnet’e sıralanıyor, ancak önce güvenlik hizmetleri devre dışı bırakılıyor ve ana bilgisayarlarda zaten yüklü olan rakip madenciler kaldırılıyor.
CyberArk’ın 2021’de yaptığı sonraki analiz, Kinsing ile NSPPS adı verilen başka bir kötü amaçlı yazılım arasındaki benzerlikleri ortaya çıkardı ve her iki türün de “aynı aileyi temsil ettiği” sonucuna vardı.
Kinsing’in saldırı altyapısı üç ana kategoriye ayrılıyor: Güvenlik açıklarını taramak ve kullanmak için kullanılan başlangıç sunucuları, yüklerin ve komut dosyalarının hazırlanmasından sorumlu indirme sunucuları ve ele geçirilen sunucularla iletişimi sürdüren komut ve kontrol (C2) sunucuları.
C2 sunucuları için kullanılan IP adresleri Rusya’ya çözümlenirken, komut dosyalarını ve ikili dosyaları indirmek için kullanılan IP adresleri Lüksemburg, Rusya, Hollanda ve Ukrayna gibi ülkeleri kapsamaktadır.
Aqua, “Kinsing, farklı araçlarla çeşitli işletim sistemlerini hedef alıyor” dedi. “Örneğin Kinsing, Linux sunucularından yararlanmak için sıklıkla kabuk ve Bash komut dosyalarını kullanıyor.”
“Ayrıca Kinsing’in bir PowerShell betiği kullanarak Windows sunucularındaki Openfire’ı hedeflediğini de gördük. Unix üzerinde çalışırken genellikle x86 veya ARM üzerinde çalışan bir ikili dosya indirmeye çalışır.”
Tehdit aktörlerinin kampanyalarının bir diğer dikkat çekici yönü, hedeflenen uygulamaların %91’inin açık kaynak olması ve grubun çoğunlukla çalışma zamanı uygulamalarını (%67), veritabanlarını (%9) ve bulut altyapısını (8) tek başına seçmesi.
Kredi bilgileri: Forescout |
Eserlerin kapsamlı bir analizi ayrıca üç farklı program kategorisini ortaya çıkardı:
- Tip I ve Tip II komut dosyalarıİlk erişimden sonra dağıtılan ve sonraki aşama saldırı bileşenlerini indirmek, rekabeti ortadan kaldırmak ve güvenlik duvarını devre dışı bırakarak, SELinux, AppArmor ve Aliyun Aegis gibi güvenlik araçlarını sonlandırarak ve kötü amaçlı işlemleri gizlemek için bir rootkit dağıtarak savunmalardan kaçınmak için kullanılan .
- Yardımcı komut dosyalarıBir güvenlik açığından yararlanarak ilk erişimi gerçekleştirmek, bir Linux sisteminden Alibaba Cloud ve Tencent Cloud hizmetleriyle ilişkili belirli güvenlik bileşenlerini devre dışı bırakmak, saldırganın kontrolü altındaki bir sunucuya ters kabuk açmak ve madenci yüklerinin alınmasını kolaylaştırmak için tasarlanan .
- İkili dosyalartemel Kinsing kötü amaçlı yazılımı ve madenci Monero’ya yönelik kripto madencisini de içeren ikinci aşama bir yük görevi görüyor
Kötü amaçlı yazılım, diğerlerinin yanı sıra madencilik sürecini takip etmek ve süreç tanımlayıcısını (PID) C2 sunucusuyla paylaşmak, bağlantı kontrolleri yapmak ve yürütme sonuçlarını göndermek için tasarlandı.
Aqua, “Kinsing, kripto madencilerini çalıştırmak için genellikle web uygulamalarındaki güvenlik açıklarından veya Docker API ve Kubernetes gibi yanlış yapılandırmalardan yararlanarak Linux ve Windows sistemlerini hedef alıyor” dedi. “Kinsing gibi potansiyel tehditleri önlemek için, dağıtım öncesi iş yükünün sertleştirilmesi gibi proaktif önlemler çok önemlidir.”
Açıklama, botnet kötü amaçlı yazılım ailelerinin erişim alanlarını genişletmenin ve kötü amaçlı faaliyetleri yürütmek üzere makineleri bir ağa dahil etmenin yollarını giderek daha fazla bulmasıyla ortaya çıktı.
Bunun en iyi örneği, MIPS ve ARM mimarileri için derlenmiş değişkenler sunmak üzere güvenliği zayıf Redis sunucularından yararlandığı tespit edilen bir Rust kötü amaçlı yazılımı olan P2PInfect’tir.
Bu yılın başlarında ARM’yi hedef alan örnekleri keşfeden Nozomi Networks, “Ana yük, madenci ve winminer gibi kendi adına konuşan dosya adlarına sahip diğer modülleri yaymak ve dağıtmak da dahil olmak üzere çeşitli işlemleri gerçekleştirme kapasitesine sahip.” dedi.
“Adından da anlaşılacağı gibi, kötü amaçlı yazılım, saldırganların komutlarını yaymak için tek bir Komuta ve Kontrol sunucusuna (C&C) ihtiyaç duymadan Eşler Arası (P2P) iletişimleri gerçekleştirme yeteneğine sahiptir.”