Kinsing kötü amaçlı yazılımının arkasındaki saldırganlar, Apache ActiveMQ kritik uzaktan kod yürütme (RCE) güvenlik açığından yararlanan en son kişilerdir ve bu kusuru hedef alarak, savunmasız Linux sistemlerine bir kripto para birimi madencisiyle bulaşmayı hedefliyorlar.
TrendMicro araştırmacıları, bu kusurdan yararlanan saldırganları tespit etti ve şu şekilde takip edildi: CVE-2023-46604 – kripto para birimi madenciliği yapmak, böylece virüs bulaşmış Linux sistemlerinden kaynakları boşaltmak. ActiveMQ, Apache Software Foundation (ASF) tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür.
TrendMicro araştırmacısı Peter Girnus şunları yazdı: “Kinsing bir sisteme bulaştığında, Bitcoin gibi kripto para birimlerini çıkarmak için ana bilgisayarın kaynaklarını kullanan bir kripto para madenciliği komut dosyası dağıtır, bu da altyapıda önemli hasara ve sistem performansı üzerinde olumsuz etkiye neden olur.” bir gönderi 20 Kasım sonlarında yayınlandı.
Araştırmacılar ayrıca Apache ActiveMQ ve Apache ActiveMQ Legacy OpenWire Modülünün birden fazla sürümünü etkileyen güvenlik açığının temel nedenine de ışık tuttu. Bu kusur, ActiveMQ mesaj aracısına erişimi olan uzaktaki bir saldırganın, etkilenen sistemlerde rastgele komutlar yürütmesine olanak tanıyor.
Java ile yazılmış ActiveMQ, Apache tarafından geliştirilen ve mesaj odaklı ara yazılım (MOM) uygulayan açık kaynaklı bir protokoldür. Ana işlevi farklı uygulamalar arasında mesaj göndermektir ancak aynı zamanda STOMP, Jakarta Messaging (JMS) ve OpenWire gibi ek özellikler de içerir.
ASF, kusuru ilk olarak 27 Ekim’de keşfetti ve bunu kısa süre sonra konsept kanıtı yararlanma kodu izledi. Vakıf, CVE-2023-46604 yamasını hızla harekete geçirmesine rağmen, tehdit aktörleri savunmasız kalan sayısız sisteme saldırmak için çok az zaman harcadı.
Yüksek Profilli Fırsatçı
Trend Micro’ya göre, bu tehdit gruplarından biri olan Kinsing, kripto para madenciliği yapmak ve diğer hain faaliyetlerde bulunmak amacıyla Linux sistemlerini hedef almak için yüksek profilli kusurlardan faydalanmasıyla zaten tanınıyor.
Önceki Kinsing kampanyaları, Linux sistemlerinden sırları ve verileri çalmak için “Looney Tunables” hatasından yararlanmayı ve sistemlere ilk erişim elde etmek için Kubernetes kümelerindeki savunmasız görüntülerden ve zayıf yapılandırılmış PostgreSQL kapsayıcılarından yararlanmayı içeriyordu.
TrendMicro’ya göre grup, ActiveMQ’ya yönelik saldırısında, Kinsing kripto para birimi madencilerini ve kötü amaçlı yazılımlarını savunmasız bir sistemde indirip yürütmek amacıyla etkilenen sistemlerde komutlar yürütmek için ProcessBuilder yöntemini kullanan genel açıklardan yararlanıyor.
Girnus, Kinsing’in saldırı stratejisinin benzersiz olduğunu, çünkü bir sisteme bulaştığında, Monero’ya bağlı olanlar veya Log4Shell ve WebLogic güvenlik açıklarından yararlananlar gibi rakip kripto madencilerini aktif olarak aradığını belirtti.
“Daha sonra süreçlerini ve ağ bağlantılarını öldürmeye devam ediyor” diye yazdı. “Ayrıca Kinsing, rakip kötü amaçlı yazılımları ve madencileri virüslü ana bilgisayarın crontab’ından kaldırır.”
Bu yapıldıktan sonra, Kinsing ikili dosyasına bir Linux ortam değişkeni atanır ve yürütülür; ardından Kinsing, kötü amaçlı önyükleme komut dosyasını her dakika indirip yürütmek için bir cronjob ekler. Girnus, “Bu, etkilenen ana bilgisayarda kalıcılığı sağlar ve aynı zamanda en son kötü amaçlı Kinsing ikili dosyasının etkilenen ana bilgisayarlarda kullanılabilir olmasını sağlar.” diye yazdı.
Aslında Kinsing, rootkit’ini yükleyerek kalıcılığını ve uzlaşmasını iki katına çıkarıyor. /etc/ld.so.preload“Bu da tam sistem uzlaşmasını tamamlıyor” diye ekledi.
Kök Neden ve Azaltma
TrendMicro, araştırmalarında yamayı kusura karşı savunmasız sistemlerle karşılaştırdı ve temel nedeninin “atılabilir sınıf türlerinin doğrulanmasıyla ilgili bir sorun” olduğunu buldu. OpenWire komutları gönderiye göre, sıralanmamışlar”.
OpenWire, yaygın olarak kullanılan açık kaynaklı mesajlaşma ve entegrasyon platformu ActiveMQ’nun yerel kablo formatı olarak hizmet vermek üzere MOM ile çalışmak üzere özel olarak tasarlanmış ikili bir protokoldür. Bant genişliğini verimli kullanması ve çok çeşitli mesaj türlerini destekleme yeteneği nedeniyle tercih edilen bir formattır.
Kusurun temelindeki sorun şu ki validateIsThrowable yöntemi kapsamına dahil edilmiştir BaseDataStreamMarshall sınıfı, Throwable’ın sınıf türünü veya Java’daki istisnaları ve hataları temsil eden bir nesneyi doğrulamakta başarısız olur. Girnus, bunun yanlışlıkla herhangi bir sınıfın örneklerini oluşturup çalıştırabileceğini ve bunun da RCE güvenlik açıklarına yol açabileceğini söyledi.
“Bu nedenle, potansiyel güvenlik risklerini önlemek için Atılabilir’in sınıf tipinin her zaman doğrulanmasını sağlamak önemlidir” diye yazdı.
TrendMicro araştırmacıları, diğer güvenlik uzmanları gibi, Apache ActiveMQ kullanan kuruluşlara kusuru düzeltmek ve Kinsing ile ilişkili diğer riskleri azaltmak için derhal harekete geçmeye çağırdı.
“Kötü amaçlı yazılımın ağlara yayılma ve birden fazla güvenlik açığından yararlanma yeteneği göz önüne alındığında, güncel güvenlik yamalarını sürdürmek, yapılandırmaları düzenli olarak denetlemek ve ağ trafiğini olağandışı etkinlikler açısından izlemek önemlidir; bunların tümü kapsamlı bir siber güvenlik stratejisinin kritik bileşenleridir.” ” diye yazdı Girnus.