Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri
preload“Bu da tam sistem uzlaşmasını tamamlıyor” diye ekledi

TrendMicro araştırmacıları, diğer güvenlik uzmanları gibi, Apache ActiveMQ kullanan kuruluşlara kusuru düzeltmek ve Kinsing ile ilişkili diğer riskleri azaltmak için derhal harekete geçmeye çağırdı

TrendMicro araştırmacısı Peter Girnus şunları yazdı: “Kinsing bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtır, bu da altyapıda önemli hasara ve sistem performansı üzerinde olumsuz etkiye neden olur OpenWire komutları gönderiye göre, sıralanmamışlar”

Kusurun temelindeki sorun şu ki validateIsThrowable yöntemi kapsamına dahil edilmiştir BaseDataStreamMarshall sınıfı, Throwable’ın sınıf türünü veya Java’daki istisnaları ve hataları temsil eden bir nesneyi doğrulamakta başarısız olur

Önceki Kinsing kampanyaları, Linux sistemlerinden sırları ve verileri çalmak için “Looney Tunables” hatasından yararlanmayı ve sistemlere ilk erişim elde etmek için Kubernetes kümelerindeki savunmasız görüntülerden ve zayıf yapılandırılmış PostgreSQL kapsayıcılarından yararlanmayı içeriyordu ”

Bu yapıldıktan sonra, Kinsing ikili dosyasına bir Linux ortam değişkeni atanır ve yürütülür; ardından Kinsing, kötü amaçlı önyükleme komut dosyasını her dakika indirip yürütmek için bir cronjob ekler

TrendMicro’ya göre grup, ActiveMQ’ya yönelik saldırısında, Kinsing kripto para birimi madencilerini ve kötü amaçlı yazılımlarını savunmasız bir sistemde indirip yürütmek amacıyla etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yöntemini kullanan genel açıklardan yararlanıyor

Araştırmacılar ayrıca Apache ActiveMQ ve Apache ActiveMQ Legacy OpenWire Modülünün birden fazla sürümünü etkileyen güvenlik açığının temel nedenine de ışık tuttu

Yüksek Profilli Fırsatçı

Trend Micro’ya göre, bu tehdit gruplarından biri olan Kinsing, kripto para madenciliği yapmak ve diğer hain faaliyetlerde bulunmak amacıyla Linux sistemlerini hedef almak için yüksek profilli kusurlardan faydalanmasıyla zaten tanınıyor ” bir gönderi 20 Kasım sonlarında yayınlandı

Girnus, Kinsing’in saldırı stratejisinin benzersiz olduğunu, çünkü bir sisteme bulaştığında, Monero’ya bağlı olanlar veya Log4Shell ve WebLogic güvenlik açıklarından yararlananlar gibi rakip kripto madencilerini aktif olarak aradığını belirtti

Java ile yazılmış ActiveMQ, Apache tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür so ActiveMQ, Apache Software Foundation (ASF) tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür /etc/ld

“Daha sonra süreçlerini ve ağ bağlantılarını öldürmeye devam ediyor” diye yazdı

Kök Neden ve Azaltma

TrendMicro, araştırmalarında yamayı kusura karşı savunmasız sistemlerle karşılaştırdı ve temel nedeninin “atılabilir sınıf türlerinin doğrulanmasıyla ilgili bir sorun” olduğunu buldu Ana işlevi farklı uygulamalar arasında mesaj göndermektir ancak aynı zamanda STOMP, Jakarta Messaging (JMS) ve OpenWire gibi ek özellikler de içerir



Kinsing kötü amaçlı yazılımının arkasındaki saldırganlar, Apache ActiveMQ kritik uzaktan kod yürütme (RCE) güvenlik açığından yararlanan en son kişilerdir ve bu kusuru hedef alarak, savunmasız Linux sistemlerine bir kripto para birimi madencisiyle bulaşmayı hedefliyorlar

“Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında, güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir; bunların tümü kapsamlı bir siber güvenlik stratejisinin kritik bileşenleridir Girnus, bunun yanlışlıkla herhangi bir sınıfın örneklerini oluşturup çalıştırabileceğini ve bunun da RCE güvenlik açıklarına yol açabileceğini söyledi

Aslında Kinsing, rootkit’ini yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarıyor “Ayrıca Kinsing, rakip kötü amaçlı yazılımları ve madencileri virüslü ana bilgisayarın crontab’ından kaldırır Bant genişliğini verimli kullanması ve çok çeşitli mesaj türlerini destekleme yeteneği nedeniyle tercih edilen bir formattır

TrendMicro araştırmacıları, bu kusurdan yararlanan saldırganları tespit etti ve şu şekilde takip edildi: CVE-2023-46604 – kripto para birimi madenciliği yapmak, böylece virüs bulaşmış Linux sistemlerinden kaynakları boşaltmak ” diye yazdı Bu kusur, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor Girnus, “Bu, etkilenen ana bilgisayarda kalıcılığı sağlar ve aynı zamanda en son kötü amaçlı Kinsing ikili dosyasının etkilenen ana bilgisayarlarda kullanılabilir olmasını sağlar

OpenWire, yaygın olarak kullanılan açık kaynaklı mesajlaşma ve entegrasyon platformu ActiveMQ’nun yerel kablo formatı olarak hizmet vermek üzere MOM ile çalışmak üzere özel olarak tasarlanmış ikili bir protokoldür Vakıf, CVE-2023-46604 yamasını hızla harekete geçirmesine rağmen, tehdit aktörleri savunmasız kalan sayısız sisteme saldırmak için çok az zaman harcadı

“Bu nedenle, potansiyel güvenlik risklerini önlemek için Atılabilir’in sınıf tipinin her zaman doğrulanmasını sağlamak önemlidir” diye yazdı

ASF, kusuru ilk olarak 27 Ekim’de keşfetti ve bunu kısa süre sonra konsept kanıtı yararlanma kodu izledi



siber-1

” ” diye yazdı Girnus