Kinsing kötü amaçlı yazılımının arkasındaki saldırganlar, bu kötü amaçlı yazılımdan en son yararlanan kişilerdir. Apache ActiveMQ Kritik uzaktan kod yürütme (RCE) güvenlik açığı, bir kripto para madencisiyle savunmasız Linux sistemlerine bulaşmayı hedefliyor.
TrendMicro araştırmacıları, bu kusurdan yararlanan saldırganları tespit etti ve şu şekilde takip edildi: CVE-2023-46604 – kripto para birimi madenciliği yapmak, böylece virüs bulaşmış Linux sistemlerinden kaynakları boşaltmak. ActiveMQ, Apache Software Foundation (ASF) tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür.
“Bir kere akrabalık TrendMicro araştırmacısı Peter Girnus şöyle yazdı: Bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtır, bu da altyapıya ciddi zarar verir ve sistem performansı üzerinde olumsuz bir etkiye neden olur.” bir gönderi 20 Kasım sonlarında yayınlandı.
Araştırmacılar ayrıca Apache ActiveMQ ve Apache ActiveMQ Legacy OpenWire Modülünün birden fazla sürümünü etkileyen güvenlik açığının temel nedenine de ışık tuttu. Bu kusur, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor.
Java ile yazılmış ActiveMQ, Apache tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür. Ana işlevi farklı uygulamalar arasında mesaj göndermektir ancak aynı zamanda STOMP, Jakarta Messaging (JMS) ve OpenWire gibi ek özellikler de içerir.
ASF kusuru ilk olarak 27 Ekim’de keşfetti ve kavram kanıtı yararlanma kodu yakında takip edildi. Vakıf, CVE-2023-46604 yamasını hızla harekete geçirmesine rağmen, tehdit aktörleri savunmasız kalan sayısız sisteme saldırmak için çok az zaman harcadı.
Yüksek Profilli Fırsatçı
Trend Micro’ya göre, bu tehdit gruplarından biri olan Kinsing, kripto para madenciliği yapmak ve diğer hain faaliyetlerde bulunmak amacıyla Linux sistemlerini hedef almak için yüksek profilli kusurlardan faydalanmasıyla zaten tanınıyor.
Önceki Kinsing kampanyaları şunları içerir: “Looney Tunables”ı kullanmak Linux sistemlerinden sırları ve verileri çalmak ve savunmasız görüntülerden ve zayıf yapılandırılmış PostgreSQL kapsayıcılarından yararlanmak için hata Kubernetes kümelerinde sistemlere ilk erişim elde etmek için.
TrendMicro’ya göre grup, ActiveMQ’ya yönelik saldırısında, Kinsing kripto para birimi madencilerini ve kötü amaçlı yazılımlarını savunmasız bir sistemde indirip yürütmek amacıyla etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yöntemini kullanan genel açıklardan yararlanıyor.
Girnus, Kinsing’in saldırı stratejisinin benzersiz olduğunu, çünkü bir sisteme bulaştığında, Monero’ya bağlı olanlar veya Log4Shell ve WebLogic güvenlik açıklarından yararlananlar gibi rakip kripto madencilerini aktif olarak aradığını belirtti.
“Daha sonra süreçlerini ve ağ bağlantılarını öldürmeye devam ediyor” diye yazdı. “Ayrıca Kinsing, rakip kötü amaçlı yazılımları ve madencileri virüslü ana bilgisayarın crontab’ından kaldırır.”
Bu yapıldıktan sonra, Kinsing ikili dosyasına bir Linux ortam değişkeni atanır ve yürütülür; ardından Kinsing, kötü amaçlı önyükleme komut dosyasını her dakika indirip yürütmek için bir cronjob ekler. Girnus, “Bu, etkilenen ana bilgisayarda kalıcılığı sağlar ve aynı zamanda en son kötü amaçlı Kinsing ikili dosyasının etkilenen ana bilgisayarlarda kullanılabilir olmasını sağlar.” diye yazdı.
Aslında Kinsing, rootkit’ini yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarıyor. /etc/ld.so.preload“Bu da tam sistem uzlaşmasını tamamlıyor” diye ekledi.
Kök Neden ve Azaltma
TrendMicro, araştırmalarında yamayı kusura karşı savunmasız sistemlerle karşılaştırdı ve temel nedeninin “atılabilir sınıf türlerinin doğrulanmasıyla ilgili bir sorun” olduğunu buldu. OpenWire komutları gönderiye göre, sıralanmamışlar”.
OpenWire, yaygın olarak kullanılan açık kaynaklı mesajlaşma ve entegrasyon platformu ActiveMQ’nun yerel kablo formatı olarak hizmet vermek üzere MOM ile çalışmak üzere özel olarak tasarlanmış ikili bir protokoldür. Bant genişliğini verimli kullanması ve çok çeşitli mesaj türlerini destekleme yeteneği nedeniyle tercih edilen bir formattır.
Kusurun temelindeki sorun şu ki validateIsThrowable yöntemi kapsamına dahil edilmiştir BaseDataStreamMarshall sınıfı, Throwable’ın sınıf türünü veya Java’daki istisnaları ve hataları temsil eden bir nesneyi doğrulamakta başarısız olur. Girnus, bunun yanlışlıkla herhangi bir sınıfın örneklerini oluşturup çalıştırabileceğini ve bunun da RCE güvenlik açıklarına yol açabileceğini söyledi.
“Bu nedenle, potansiyel güvenlik risklerini önlemek için Atılabilir’in sınıf tipinin her zaman doğrulanmasını sağlamak önemlidir” diye yazdı.
TrendMicro araştırmacıları, diğer güvenlik uzmanları gibi, Apache ActiveMQ kullanan kuruluşlara kusuru düzeltmek ve Kinsing ile ilişkili diğer riskleri azaltmak için derhal harekete geçmeye çağırdı.
“Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında, güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir; bunların tümü kapsamlı bir siber güvenlik stratejisinin kritik bileşenleridir.” ” diye yazdı Girnus.