Arka kapıları ve kripto madencilerini dağıtmak için Linux bulut sunucularındaki güvenlik açıklarından yararlanmasıyla bilinen Kinsing kötü amaçlı yazılımı, yakın zamanda hedefini Apache Tomcat sunucularını da içerecek şekilde genişletti.
Kötü amaçlı yazılım, görünüşte zararsız sistem dosyalarının içine gizlenerek tespit edilmekten kaçınmak için yeni teknikler kullanıyor, tehlikeye atılan sistemde kalıcılık sağlıyor, Kinsing’in gelişen taktiklerini vurguluyor ve sistem yöneticilerinin ortaya çıkan bu tehditlere karşı tetikte olma ihtiyacını vurguluyor.
Kinsing, arka kapıları ve kripto madencilerini dağıtmak için konteynerler ve sunuculardaki güvenlik açıklarından yararlanıyor; çünkü bulgular, kritik kusurlara sahip bir Apache Tomcat de dahil olmak üzere birden fazla güvenliği ihlal edilmiş sunucuyu gösteriyor.
Statik içerik için halka açık bir açık kaynaklı sunucu olan Tomcat, internete açık olması nedeniyle öncelikli bir hedef teşkil ediyor; bu da Kinsing’in sisteme sızmasına ve kripto madencilerini kripto para birimi madenciliği için bilgi işlem kaynaklarını çalmak üzere dağıtırken kalıcılık için gizli arka kapılar oluşturmasına olanak tanıyor.
Kinsing kötü amaçlı yazılımı, ele geçirilen Linux sistemlerinde şüphelenmeyen konumlarda saklanarak yeni bir kalıcılık stratejisi kullanıyor.
Genellikle meşru amaçlar için kullanılan üç ayrı “man” sayfa dizininden (/var/cache/man/cs/cat1/, /var/cache/man/cs/cat3/, /var/cache/man/zh_TW/cat8/) yararlanır. Güvenlik personelinin bu dizinleri kötü amaçlı yazılımlara karşı incelemeyeceği varsayımından yararlanan sistem belgeleri, Kinsing’in uzun süre tespit edilmemesine olanak tanıyor.
Listelenen dizinler, kullanıcı düzeyindeki komutların (/var/cache/man/cs/cat1/), kitaplık işlevlerinin (/var/cache/man/cs/cat3/) ve sistem yönetimi görevlerinin (/) konumlarını kapsadıkları için şüphelidir. var/cache/man/zh_TW/cat8/), potansiyel manipülasyona işaret ediyor.
Ek olarak, Kerberos kimlik doğrulamasıyla (/var/lib/gssproxy/rcache/) ilişkili bir dizinin varlığı, kimlik doğrulamayı atlama veya ayrıcalıkları yükseltme girişimlerine işaret ediyor; çünkü bu dizin yapısı nadirdir ve kötü amaçlı yazılım kurulumunun bir işareti olabilir.
.webp)
Saldırganlar, kötü amaçlı yazılımları, güvenliği ihlal edilmiş Tomcat sunucularındaki /var/cache/man/ gibi meşru sistem dosyası dizinlerinde saklıyor, genellikle zararsız dosyalar saklıyor, bu da kötü amaçlı yazılımın karışıp tespitten kaçmasına neden oluyor.
Tenable’a göre bu taktik, kötü amaçlı yazılımın sistemdeki ömrünü uzatıyor; çünkü kötü amaçlı yazılımın kendisi yeni değil, 2022’nin sonlarında Çin’de keşfedildi, ancak bu tekniği kullanan Tomcat sunucu saldırıları, kanıtlandığı gibi, 2023’ün ortalarında başladı. dosya oluşturma tarihlerine göre.
.webp)
Gizli bir cryptojacking kampanyası, yaklaşık bir yıldır güncelliğini kaybetmiş XMRig madencilerinden (v6.12.2) yararlanırken, XMRig, gizlilik odaklı bir kripto para birimi olan Monero için meşru bir açık kaynaklı CPU madencisidir.
Güvenliği ihlal edilmiş sistemlerdeki eski sürüm, saldırganlar tarafından bakım yapılmaması ihtimalini akla getiriyor ve mevcut XMRig sürümü GitHub’da mevcut olan 6.21.2 olduğundan tespit ve hafifletme fırsatına işaret ediyor.