Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Kinsing Siber Saldırganları Kripto Madenciliği Yapmak İçin Apache ActiveMQ Kusurunu Hedefliyor - Dünyadan Güncel Teknoloji Haberleri

Java ile yazılmış ActiveMQ, Apache tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür preload“Bu da tam sistem uzlaşmasını tamamlıyor” diye ekledi



siber-1

Bu kusur, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor

TrendMicro araştırmacıları, bu kusurdan yararlanan saldırganları tespit etti ve şu şekilde takip edildi: CVE-2023-46604 – kripto para birimi madenciliği yapmak, böylece virüs bulaşmış Linux sistemlerinden kaynakları boşaltmak

Önceki Kinsing kampanyaları, Linux sistemlerinden sırları ve verileri çalmak için “Looney Tunables” hatasından yararlanmayı ve sistemlere ilk erişim elde etmek için Kubernetes kümelerindeki savunmasız görüntülerden ve zayıf yapılandırılmış PostgreSQL kapsayıcılarından yararlanmayı içeriyordu

TrendMicro araştırmacıları, diğer güvenlik uzmanları gibi, Apache ActiveMQ kullanan kuruluşlara kusuru düzeltmek ve Kinsing ile ilişkili diğer riskleri azaltmak için derhal harekete geçmeye çağırdı Girnus, “Bu, etkilenen ana bilgisayarda kalıcılığı sağlar ve aynı zamanda en son kötü amaçlı Kinsing ikili dosyasının etkilenen ana bilgisayarlarda kullanılabilir olmasını sağlar ” ” diye yazdı Girnus Bant genişliğini verimli kullanması ve çok çeşitli mesaj türlerini destekleme yeteneği nedeniyle tercih edilen bir formattır

“Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında, güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir; bunların tümü kapsamlı bir siber güvenlik stratejisinin kritik bileşenleridir Vakıf, CVE-2023-46604 yamasını hızla harekete geçirmesine rağmen, tehdit aktörleri savunmasız kalan sayısız sisteme saldırmak için çok az zaman harcadı ActiveMQ, Apache Software Foundation (ASF) tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür

TrendMicro araştırmacısı Peter Girnus şunları yazdı: “Kinsing bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtır, bu da altyapıda önemli hasara ve sistem performansı üzerinde olumsuz etkiye neden olur ” diye yazdı

Kök Neden ve Azaltma

TrendMicro, araştırmalarında yamayı kusura karşı savunmasız sistemlerle karşılaştırdı ve temel nedeninin “atılabilir sınıf türlerinin doğrulanmasıyla ilgili bir sorun” olduğunu buldu ”

Bu yapıldıktan sonra, Kinsing ikili dosyasına bir Linux ortam değişkeni atanır ve yürütülür; ardından Kinsing, kötü amaçlı önyükleme komut dosyasını her dakika indirip yürütmek için bir cronjob ekler

TrendMicro’ya göre grup, ActiveMQ’ya yönelik saldırısında, Kinsing kripto para birimi madencilerini ve kötü amaçlı yazılımlarını savunmasız bir sistemde indirip yürütmek amacıyla etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yöntemini kullanan genel açıklardan yararlanıyor

Aslında Kinsing, rootkit’ini yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarıyor

Kusurun temelindeki sorun şu ki validateIsThrowable yöntemi kapsamına dahil edilmiştir BaseDataStreamMarshall sınıfı, Throwable’ın sınıf türünü veya Java’daki istisnaları ve hataları temsil eden bir nesneyi doğrulamakta başarısız olur ” bir gönderi 20 Kasım sonlarında yayınlandı /etc/ld

ASF, kusuru ilk olarak 27 Ekim’de keşfetti ve bunu kısa süre sonra konsept kanıtı yararlanma kodu izledi

Yüksek Profilli Fırsatçı

Trend Micro’ya göre, bu tehdit gruplarından biri olan Kinsing, kripto para madenciliği yapmak ve diğer hain faaliyetlerde bulunmak amacıyla Linux sistemlerini hedef almak için yüksek profilli kusurlardan faydalanmasıyla zaten tanınıyor

Araştırmacılar ayrıca Apache ActiveMQ ve Apache ActiveMQ Legacy OpenWire Modülünün birden fazla sürümünü etkileyen güvenlik açığının temel nedenine de ışık tuttu

Girnus, Kinsing’in saldırı stratejisinin benzersiz olduğunu, çünkü bir sisteme bulaştığında, Monero’ya bağlı olanlar veya Log4Shell ve WebLogic güvenlik açıklarından yararlananlar gibi rakip kripto madencilerini aktif olarak aradığını belirtti



Kinsing kötü amaçlı yazılımının arkasındaki saldırganlar, Apache ActiveMQ kritik uzaktan kod yürütme (RCE) güvenlik açığından yararlanan en son kişilerdir ve bu kusuru hedef alarak, savunmasız Linux sistemlerine bir kripto para birimi madencisiyle bulaşmayı hedefliyorlar

“Daha sonra süreçlerini ve ağ bağlantılarını öldürmeye devam ediyor” diye yazdı so

“Bu nedenle, potansiyel güvenlik risklerini önlemek için Atılabilir’in sınıf tipinin her zaman doğrulanmasını sağlamak önemlidir” diye yazdı Girnus, bunun yanlışlıkla herhangi bir sınıfın örneklerini oluşturup çalıştırabileceğini ve bunun da RCE güvenlik açıklarına yol açabileceğini söyledi “Ayrıca Kinsing, rakip kötü amaçlı yazılımları ve madencileri virüslü ana bilgisayarın crontab’ından kaldırır OpenWire komutları gönderiye göre, sıralanmamışlar” Ana işlevi farklı uygulamalar arasında mesaj göndermektir ancak aynı zamanda STOMP, Jakarta Messaging (JMS) ve OpenWire gibi ek özellikler de içerir

OpenWire, yaygın olarak kullanılan açık kaynaklı mesajlaşma ve entegrasyon platformu ActiveMQ’nun yerel kablo formatı olarak hizmet vermek üzere MOM ile çalışmak üzere özel olarak tasarlanmış ikili bir protokoldür