Saldırganlar, hedeflenen Linux sistemlerine Kinsing kötü amaçlı yazılımını ve kripto para madencilerini yüklemek için Apache ActiveMQ’da yakın zamanda düzeltilen bir güvenlik açığından (CVE-2023-46604) yararlanıyor.
CVE-2023-46604’ten yararlanma
Apache ActiveMQ, farklı protokoller (OpenWire, STOMP, MQTT, AMQP, vb.) aracılığıyla alınıp verilen mesajları çevirerek uygulamalar ve hizmetler arasında iletişime olanak tanıyan popüler bir Java tabanlı açık kaynaklı mesaj aracısıdır.
CVE-2023-46604, Java OpenWire protokol sıralayıcısındaki bir güvenlik açığıdır ve saldırganların ActiveMQ sunucusuyla aynı ayrıcalıklarla rastgele kod çalıştırmasına izin verebilir.
Ekim ayının sonlarında bir yama yayınlanmış olmasına rağmen, bunun HelloKitty fidye yazılımı ailesini kullanan fidye yazılımı saldırganları tarafından ve SparkRAT kötü amaçlı yazılımını dağıtmak için kullanıldığına dair raporlar var.
Apache ActiveMQ’yu hedef alan kötü amaçlı yazılım Kinsing
“Kinsing kötü amaçlı yazılımı, öncelikle Linux tabanlı sistemleri hedef alan, sunuculara sızabilen ve bir ağ üzerinden hızla yayılabilen kritik bir tehdittir. Trend Micro araştırmacıları, “Web uygulamalarındaki veya yanlış yapılandırılmış kapsayıcı ortamlarındaki güvenlik açıklarından yararlanarak giriş sağlıyor” dedi.
Saldırganlar, Kinsing kötü amaçlı yazılımını ve kripto para madenciliği yazılımını indirip çalıştırmak için CVE-2023-46604’ü kullanıyor.
Kinsing ayrıca sistemi rakip kripto para birimi madencilerine karşı tarar ve bunları kaldırır, her dakika kötü amaçlı bir önyükleme komut dosyası indirip çalıştıracak bir cronjob ekleyerek kalıcılık elde eder ve bir rootkit yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarır.
Araştırmacılar, “Kinsing bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtıyor, bu da altyapıda ciddi hasara ve sistem performansı üzerinde olumsuz etkiye neden oluyor” dedi.
“Apache ActiveMQ kullanan kuruluşlar, CVE-2023-46604’e mümkün olan en kısa sürede yama uygulamak ve Kinsing ile ilişkili riskleri azaltmak için derhal harekete geçmelidir. Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında [such as CVE-2023-4911, aka Looney Tunables]Kapsamlı bir siber güvenlik stratejisinin kritik bileşenleri olan güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir.”