Les hackers Kinsing exploitent la vulnérabilité d'Apache ActiveMQ pour déployer des rootkits Linux
Les pirates Kinsing exploitent activement une faille de sécurité critique dans les serveurs Apache ActiveMQ vulnérables pour infecter les systèmes Linux avec des mineurs de crypto-monnaie et des rootkits.
"Une fois que Kinsing infecte un système, il déploie un script de minage de crypto-monnaies qui exploite les ressources de l'hôte pour miner des crypto-monnaies comme le bitcoin, ce qui entraîne des dommages importants à l'infrastructure et un impact négatif sur les performances du système", a déclaré Peter Girnus, chercheur en sécurité chez Trend Micro.
Kinsing fait référence à un logiciel malveillant Linux qui a l'habitude de cibler des environnements conteneurisés mal configurés pour le minage de crypto-monnaies, en utilisant souvent des ressources de serveur compromises pour générer des profits illicites pour les acteurs de la menace.
Le groupe est également connu pour adapter rapidement ses tactiques afin d'inclure des failles nouvellement divulguées dans les applications web pour pénétrer dans les réseaux cibles et livrer des mineurs de crypto-monnaie.
La campagne d'exploiattion encours du groupe malveillant comprend l'utilisation abusive de CVE-2023-46604, une vulnérabilité critique activement exploitée dans Apache ActiveMQ qui permet l'exécution de code à distance, permettant à l'adversaire de télécharger et d'installer le logiciel malveillant Kinsing. Il récupère ensuite des charges utiles supplémentaires à partir d'un domaine contrôlé par l'acteur, tout en prenant des mesures pour mettre fin aux mineurs de crypto-monnaie concurrents déjà en cours d'exécution sur le système infecté.
"Kinsing redouble de persistance et de compromission en chargeant son rootkit dans le fichier /etc/ld.so.preload, ce qui achève de compromettre l'ensemble du système", a déclaré M. Girnus.
À la lumière de l'exploitation continue de la faille, il est recommandé aux organisations utilisant les versions affectées d'Apache ActiveMQ de mettre à jour vers une version corrigée dès que possible afin d'atténuer les menaces potentielles.
Source: The Hacker News