Cryptojacking grubu olarak bilinen akrabalık Arsenal’den yararlanmak ve botnet’ini genişletmek için yeni açıklanan güvenlik açıklarını hızlı bir şekilde entegre ederek kalıcı bir tehdit olduğunu kanıtlayarak sürekli gelişme ve uyum sağlama yeteneğini kanıtladı.
bulgular Tehdit aktörünün 2019’dan bu yana yasadışı kripto para birimi madenciliği kampanyalarını aktif olarak düzenlediğini belirten bulut güvenlik firması Aqua’dan geliyor.
Kinsing (diğer adıyla H2MinerHem kötü amaçlı yazılıma hem de arkasındaki düşmana verilen ad, virüslü sistemleri bir kripto madenciliği botnet’ine kaydetmek için araç setini sürekli olarak yeni güvenlik açıklarıyla genişletti. Oldu ilk belgelenen TrustedSec tarafından Ocak 2020’de.
Son yıllarda Golang tabanlı kötü amaçlı yazılımları içeren kampanyalar silah haline getirildi çeşitli kusurlar Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence’da, Citrix, Liferay PortalıLinux, Openfire, Oracle WebLogic Sunucusu ve Tuz Yığını Savunmasız sistemleri ihlal etmek.
Diğer yöntemler de yanlış yapılandırılmış istismarları içeriyordu Liman işçisiPostgreSQL ve Redis örnekleri ilk erişimi elde etmek için, ardından uç noktalar kripto madenciliği için bir botnet’e sıralanır, ancak önce güvenlik hizmetleri devre dışı bırakılır ve ana bilgisayarlarda zaten yüklü olan rakip madenciler kaldırılır.
2021’de CyberArk tarafından yapılan sonraki analiz ortaya çıkarıldı Kinsing ile NSPPS adı verilen başka bir kötü amaçlı yazılım arasındaki benzerlikler, her iki türün de “aynı aileyi temsil ettiği” sonucuna varıyor.
Kinsing’in saldırı altyapısı üç ana kategoriye ayrılıyor: Güvenlik açıklarını taramak ve kullanmak için kullanılan başlangıç sunucuları, yüklerin ve komut dosyalarının hazırlanmasından sorumlu indirme sunucuları ve ele geçirilen sunucularla iletişimi sürdüren komut ve kontrol (C2) sunucuları.
C2 sunucuları için kullanılan IP adresleri Rusya’ya çözümlenirken, komut dosyalarını ve ikili dosyaları indirmek için kullanılan IP adresleri Lüksemburg, Rusya, Hollanda ve Ukrayna gibi ülkeleri kapsar.
Aqua, “Kinsing, farklı araçlarla çeşitli işletim sistemlerini hedef alıyor” dedi. “Örneğin Kinsing, Linux sunucularından yararlanmak için sıklıkla kabuk ve Bash komut dosyalarını kullanıyor.”
“Ayrıca Kinsing’in bir PowerShell betiği kullanarak Windows sunucularındaki Openfire’ı hedeflediğini de gördük. Unix üzerinde çalışırken genellikle x86 veya ARM üzerinde çalışan bir ikili dosya indirmeye çalışır.”
Tehdit aktörlerinin kampanyalarının bir diğer dikkat çekici yönü, hedeflenen uygulamaların %91’inin açık kaynak olması ve grubun çoğunlukla çalışma zamanı uygulamalarını (%67), veritabanlarını (%9) ve bulut altyapısını (8) tek başına seçmesi.
 |
| Kredi bilgileri: Forescout |
Eserlerin kapsamlı bir analizi ayrıca üç farklı program kategorisini ortaya çıkardı:
- Tip I ve Tip II komut dosyalarıİlk erişimden sonra dağıtılan ve sonraki aşama saldırı bileşenlerini indirmek, rekabeti ortadan kaldırmak ve güvenlik duvarını devre dışı bırakarak, SELinux, AppArmor ve Aliyun Aegis gibi güvenlik araçlarını sonlandırarak savunmalardan kaçınmak için kullanılan . rootkit dağıtma kötü amaçlı süreçleri gizlemek için
- Yardımcı komut dosyalarıBir güvenlik açığından yararlanarak ilk erişimi gerçekleştirmek, bir Linux sisteminden Alibaba Cloud ve Tencent Cloud hizmetleriyle ilişkili belirli güvenlik bileşenlerini devre dışı bırakmak, saldırganın kontrolü altındaki bir sunucuya ters kabuk açmak ve madenci yüklerinin alınmasını kolaylaştırmak için tasarlanan .
- İkili dosyalarTemel Kinsing kötü amaçlı yazılımı ve madenci Monero’ya yönelik kripto madencisini içeren ikinci aşama bir yük görevi gören .
Kötü amaçlı yazılım, diğerlerinin yanı sıra, madencilik sürecini takip etmek ve süreç tanımlayıcısını (PID) C2 sunucusuyla paylaşmak, bağlantı kontrolleri yapmak ve yürütme sonuçlarını göndermek için tasarlandı.
Aqua, “Kinsing, kripto madencilerini çalıştırmak için genellikle web uygulamalarındaki güvenlik açıklarından veya Docker API ve Kubernetes gibi yanlış yapılandırmalardan yararlanarak Linux ve Windows sistemlerini hedef alıyor” dedi. “Kinsing gibi potansiyel tehditleri önlemek için, dağıtım öncesi iş yükünün sertleştirilmesi gibi proaktif önlemler çok önemlidir.”
Açıklama, botnet kötü amaçlı yazılım ailelerinin erişim alanlarını genişletmenin ve kötü amaçlı faaliyetleri yürütmek üzere makineleri bir ağa dahil etmenin yollarını giderek daha fazla bulmasıyla ortaya çıktı.
Bunun en iyi örneği, MIPS ve ARM mimarileri için derlenmiş değişkenler sunmak üzere güvenliği zayıf Redis sunucularından yararlandığı tespit edilen bir Rust kötü amaçlı yazılımı olan P2PInfect’tir.
Bu yılın başlarında ARM’yi hedef alan örnekleri keşfeden Nozomi Networks, “Ana yük, madenci ve winminer gibi kendi adlarına konuşan dosya adlarına sahip diğer modüllerin yayılması ve teslim edilmesi de dahil olmak üzere çeşitli işlemleri gerçekleştirme kapasitesine sahip” dedi. söz konusu.
“Adından da anlaşılacağı gibi, kötü amaçlı yazılım, saldırganların komutlarını yaymak için tek bir Komuta ve Kontrol sunucusuna (C&C) ihtiyaç duymadan Eşler Arası (P2P) iletişimleri gerçekleştirme yeteneğine sahiptir.”