Kinsing kötü amaçlı yazılım operatörü, Linux sistemlerini tehlikeye atmak için Apache ActiveMQ açık kaynaklı mesaj komisyoncusunda CVE-2023-46604 kritik güvenlik açığından aktif olarak yararlanıyor.
Kusur, uzaktan kod yürütülmesine izin verir ve Ekim ayı sonlarında sabitlenmiştir. Apache’nin açıklaması, sorunun, OpenWire protokolünde serileştirilmiş sınıf türlerini kullanan keyfi kabuk komutlarının çalıştırılmasına izin verdiğini açıklıyor.
Araştırmacılar, Yama'nın piyasaya sürülmesinden sonra binlerce sunucunun saldırılara maruz kaldığını ve Hellokitty ve Tellyouthepass gibi fidye yazılımı çeteleri fırsattan yararlanmaya başladığını buldular.
Bugün, TrendMicro'dan bir rapor, Kinsing'in CVE-2023-46604'ten yararlanan tehdit aktörleri listesine katkıda bulunduğunu belirtiyor, hedefleri korplik sunuculara kripto para madencilerini dağıtmak.
Kinsing kötü amaçlı yazılım hedefleri Linux sistemlerini hedefler ve operatörü, sistem yöneticileri tarafından sıklıkla göz ardı edilen bilinen kusurlardan yararlanmak için kötü şöhretlidir. Daha önce, saldırıları için Log4shell ve Atlassian Confluence RCE hatasına güveniyorlardı.
Araştırmacılar, “Şu anda, etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yönteminden yararlanan mevcut kamu istismarları var” diye açıklıyor.
“Kinsing bağlamında, CVE-2023-46604, Kinsing kripto para madencilerini ve savunmasız bir sistemde kötü amaçlı yazılımları indirmek ve yürütmek için kullanılır”-Trend Micro
Kötü amaçlı yazılım, kötü amaçlı bash komut dosyalarını yürütmek ve enfekte olmuş cihaza yeni oluşturulan sistem düzeyinde işlemlerin içinden ek yükler indirmek için "ProcessBuilder" yöntemini kullanır.
Bu yöntemin avantajı, kötü amaçlı yazılımların, algılamadan kaçınırken, yüksek derecede kontrol ve esneklik ile karmaşık komutları ve komut dosyalarını yürütmesine izin vermesidir.
Kripto madenciliği aracını başlatmadan önce, Kinsing, ilgili süreçleri, crontabları ve aktif ağ bağlantılarını öldürerek Monero madencileri yarışmak için makineyi kontrol eder.
Bundan sonra, enfeksiyon betiğinin (bootstrap) en son sürümünü getiren ve ayrıca ‘/etc/ld.so.preload” a bir rootkit ekleyen bir cronjob aracılığıyla kalıcılık oluşturur.
Linux Systems üzerindeki /etc dizini genellikle sistem yapılandırma dosyalarını, sistemi önyüklemek için yürütülebilir ürünler ve bazı günlük dosyaları barındırır, böylece bir programın işlemi başlamadan önce bu konumdaki kütüphaneler.
Bu durumda, bir rootkit eklemek, kodunun nispeten gizli ve çıkarılması zor kalırken sistemde başlayan her işlemle yürütülmesini sağlar.
CVE-2023-46604'ten yararlanan tehdit aktörlerinin sayısı arttıkça, güvenlik açığını yamamaları veya uzlaşma belirtilerini kontrol etmezlerse birden fazla sektördeki kuruluşlar risk altında kalırlar.
Tehdidi azaltmak için, sistem yöneticilerinin APACH Active MQ'yu güvenlik sorununu ele alan 5.15.16, 5.16.7, 5.17.6 veya 5.18.3 sürümlerine yükseltmeleri önerilir.
Hellokitty fidye yazılımı artık saldırılarda apache ActiveMq kusurunu kullanıyor
3.000 Apache ActiveMQ sunucusu çevrimiçi olarak maruz kalan RCE saldırılarına karşı savunmasız
StripedFly kötü amaçlı yazılım çerçevesi 1 milyon pencereye bulaşır, Linux ana bilgisayarlar
Yüzlerce kötü niyetli python paketi, hassas verileri çalmayı buldu
Bilgisayar korsanları aktif olarak OpenFire Kusurunu Sunucuları Şifrelemek
Kaynak: Bleeping Computer