Los actores de amenazas de Kinsing están explotando activamente una falla de seguridad crítica en servidores Apache ActiveMQ vulnerables para infectar sistemas Linux con mineros de criptomonedas y rootkits.
“Una vez que Kinsing infecta un sistema, despliega un script de minería de criptomonedas que explota los recursos del host para minar criptomonedas como Bitcoin, lo que resulta en un daño significativo a la infraestructura y un impacto negativo en el rendimiento del sistema”, dijo el investigador de seguridad de Trend Micro, Peter Girnus.
Kinsing se refiere a un malware de Linux con un historial de apuntar a entornos en contenedores mal configurados para la minería de criptomonedas, a menudo utilizando recursos de servidor comprometidos para generar ganancias ilícitas para los actores de amenazas.
También se sabe que el grupo adapta rápidamente sus tácticas para incluir fallas recientemente reveladas en las aplicaciones web para violar las redes objetivo y entregar mineros de criptomonedas. A principios de este mes, Aqua reveló los intentos del actor de amenazas de explotar una falla de escalada de privilegios de Linux llamada Looney Tunables para infiltrarse en entornos en la nube.
La última campaña implica el abuso de CVE-2023-46604 (puntuación CVSS: 10.0), una vulnerabilidad crítica explotada activamente en Apache ActiveMQ que permite la ejecución remota de código, lo que permite al adversario descargar e instalar el malware Kinsing.
A esto le sigue la recuperación de cargas útiles adicionales de un dominio controlado por el actor y, al mismo tiempo, se toman medidas para acabar con los mineros de criptomonedas de la competencia que ya se ejecutan en el sistema infectado.
“Kinsing duplica su persistencia y compromiso al cargar su rootkit en /etc/ld.so.preload, lo que completa un compromiso completo del sistema”, dijo Girnus.
A la luz de la explotación continua de la falla, se recomienda a las organizaciones que ejecutan versiones afectadas de Apache ActiveMQ que actualicen a una versión parcheada lo antes posible para mitigar las posibles amenazas.
La revelación se produce cuando el Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab advierte sobre ataques cibernéticos dirigidos a servidores web Apache vulnerables para una campaña de cryptojacking que aprovecha Cobalt Strike o Gh0st RAT para entregar un minero de criptomonedas.
