Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

TrendMicro’ya göre grup, ActiveMQ’ya yönelik saldırısında, Kinsing kripto para birimi madencilerini ve kötü amaçlı yazılımlarını savunmasız bir sistemde indirip yürütmek amacıyla etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yöntemini kullanan genel açıklardan yararlanıyor

Java ile yazılmış ActiveMQ, Apache tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür /etc/ld ” diye yazdı Bant genişliğini verimli kullanması ve çok çeşitli mesaj türlerini destekleme yeteneği nedeniyle tercih edilen bir formattır

Önceki Kinsing kampanyaları, Linux sistemlerinden sırları ve verileri çalmak için “Looney Tunables” hatasından yararlanmayı ve sistemlere ilk erişim elde etmek için Kubernetes kümelerindeki savunmasız görüntülerden ve zayıf yapılandırılmış PostgreSQL kapsayıcılarından yararlanmayı içeriyordu

ASF, kusuru ilk olarak 27 Ekim’de keşfetti ve bunu kısa süre sonra konsept kanıtı yararlanma kodu izledi

TrendMicro araştırmacıları, bu kusurdan yararlanan saldırganları tespit etti ve şu şekilde takip edildi: CVE-2023-46604 – kripto para birimi madenciliği yapmak, böylece virüs bulaşmış Linux sistemlerinden kaynakları boşaltmak

Araştırmacılar ayrıca Apache ActiveMQ ve Apache ActiveMQ Legacy OpenWire Modülünün birden fazla sürümünü etkileyen güvenlik açığının temel nedenine de ışık tuttu

Kusurun temelindeki sorun şu ki validateIsThrowable yöntemi kapsamına dahil edilmiştir BaseDataStreamMarshall sınıfı, Throwable’ın sınıf türünü veya Java’daki istisnaları ve hataları temsil eden bir nesneyi doğrulamakta başarısız olur ” ” diye yazdı Girnus

Girnus, Kinsing’in saldırı stratejisinin benzersiz olduğunu, çünkü bir sisteme bulaştığında, Monero’ya bağlı olanlar veya Log4Shell ve WebLogic güvenlik açıklarından yararlananlar gibi rakip kripto madencilerini aktif olarak aradığını belirtti

Yüksek Profilli Fırsatçı

Trend Micro’ya göre, bu tehdit gruplarından biri olan Kinsing, kripto para madenciliği yapmak ve diğer hain faaliyetlerde bulunmak amacıyla Linux sistemlerini hedef almak için yüksek profilli kusurlardan faydalanmasıyla zaten tanınıyor

“Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında, güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir; bunların tümü kapsamlı bir siber güvenlik stratejisinin kritik bileşenleridir Vakıf, CVE-2023-46604 yamasını hızla harekete geçirmesine rağmen, tehdit aktörleri savunmasız kalan sayısız sisteme saldırmak için çok az zaman harcadı ” bir gönderi 20 Kasım sonlarında yayınlandı ActiveMQ, Apache Software Foundation (ASF) tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür

Kök Neden ve Azaltma

TrendMicro, araştırmalarında yamayı kusura karşı savunmasız sistemlerle karşılaştırdı ve temel nedeninin “atılabilir sınıf türlerinin doğrulanmasıyla ilgili bir sorun” olduğunu buldu preload“Bu da tam sistem uzlaşmasını tamamlıyor” diye ekledi ”

Bu yapıldıktan sonra, Kinsing ikili dosyasına bir Linux ortam değişkeni atanır ve yürütülür; ardından Kinsing, kötü amaçlı önyükleme komut dosyasını her dakika indirip yürütmek için bir cronjob ekler OpenWire komutları gönderiye göre, sıralanmamışlar” Bu kusur, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor

TrendMicro araştırmacısı Peter Girnus şunları yazdı: “Kinsing bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtır, bu da altyapıda önemli hasara ve sistem performansı üzerinde olumsuz etkiye neden olur

TrendMicro araştırmacıları, diğer güvenlik uzmanları gibi, Apache ActiveMQ kullanan kuruluşlara kusuru düzeltmek ve Kinsing ile ilişkili diğer riskleri azaltmak için derhal harekete geçmeye çağırdı Girnus, “Bu, etkilenen ana bilgisayarda kalıcılığı sağlar ve aynı zamanda en son kötü amaçlı Kinsing ikili dosyasının etkilenen ana bilgisayarlarda kullanılabilir olmasını sağlar

“Bu nedenle, potansiyel güvenlik risklerini önlemek için Atılabilir’in sınıf tipinin her zaman doğrulanmasını sağlamak önemlidir” diye yazdı



siber-1

so

“Daha sonra süreçlerini ve ağ bağlantılarını öldürmeye devam ediyor” diye yazdı

OpenWire, yaygın olarak kullanılan açık kaynaklı mesajlaşma ve entegrasyon platformu ActiveMQ’nun yerel kablo formatı olarak hizmet vermek üzere MOM ile çalışmak üzere özel olarak tasarlanmış ikili bir protokoldür Ana işlevi farklı uygulamalar arasında mesaj göndermektir ancak aynı zamanda STOMP, Jakarta Messaging (JMS) ve OpenWire gibi ek özellikler de içerir Girnus, bunun yanlışlıkla herhangi bir sınıfın örneklerini oluşturup çalıştırabileceğini ve bunun da RCE güvenlik açıklarına yol açabileceğini söyledi



Kinsing kötü amaçlı yazılımının arkasındaki saldırganlar, Apache ActiveMQ kritik uzaktan kod yürütme (RCE) güvenlik açığından yararlanan en son kişilerdir ve bu kusuru hedef alarak, savunmasız Linux sistemlerine bir kripto para birimi madencisiyle bulaşmayı hedefliyorlar “Ayrıca Kinsing, rakip kötü amaçlı yazılımları ve madencileri virüslü ana bilgisayarın crontab’ından kaldırır

Aslında Kinsing, rootkit’ini yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarıyor