Actores maliciosos como Kinsing se están aprovechando de fallas de seguridad antiguas y recientemente reveladas en Oracle WebLogic Server para entregar malware de minería de criptomonedas.
La empresa de ciberseguridad Trend Micro lo dijo fundar el grupo con motivación financiera que aprovecha la vulnerabilidad para descartar secuencias de comandos de Python con capacidades para deshabilitar las características de seguridad del sistema operativo (SO) como Linux con seguridad mejorada (SELinux), y otros.
Los operadores detrás de la Kinsing malware tener un historial de escaneo de servidores vulnerables para cooptarlos en una red de bots, incluida la de redis, pila de salLog4Shell, Spring4Shell y la falla de Atlassian Confluence (CVE-2022-26134).
Los actores de Kinsing también han estado involucrados en campañas contra los entornos de contenedores a través de Puertos API de Docker Daemon abiertos mal configurados para lanzar un criptominero y posteriormente propagar el malware a otros contenedores y hosts.
La última ola de ataques implica que el actor se convierta en un arma CVE-2020-14882 (puntaje CVSS: 9.8), un error de ejecución remota de código (RCE) de dos años, contra servidores sin parches para tomar el control del servidor y soltar cargas maliciosas.
Vale la pena señalar que la vulnerabilidad ha sido explotada en el pasado por múltiples botnets para distribuir mineros Monero y la puerta trasera Tsunami en sistemas Linux infectados.
La explotación exitosa de la falla fue lograda mediante la implementación de un script de shell que es responsable de una serie de acciones: Eliminar el /var/log/syslog registro del sistema, desactivar las funciones de seguridad y los agentes de servicios en la nube de Alibaba y Tencent, y eliminar los procesos mineros de la competencia.
Luego, el script de shell procede a descargar el malware Kinsing desde un servidor remoto, al mismo tiempo que toma medidas para garantizar la persistencia por medio del trabajo cron.
«La explotación exitosa de esta vulnerabilidad puede conducir a RCE, que puede permitir a los atacantes realizar una gran cantidad de actividades maliciosas en los sistemas afectados», dijo Trend Micro. «Esto puede ir desde la ejecución de malware […] hasta el robo de datos críticos, e incluso el control total de una máquina comprometida».
Los actores de TeamTNT regresan con Kangaroo Attack
El desarrollo se produce cuando los investigadores de Aqua Security identificaron tres nuevos ataques vinculados a otro grupo de cryptojacking «vibrante» llamado TeamTNT, que cerró voluntariamente en noviembre de 2021.
«TeamTNT ha estado buscando un Docker Daemon mal configurado e implementando alpine, una imagen de contenedor estándar, con una línea de comando para descargar un script de shell (k.sh) a un servidor C2», dijo Assaf Morag, investigador de Aqua Security. dijo.
Lo notable de la cadena de ataque es que parece estar diseñada para romper Cifrado SECP256K1, que, de tener éxito, podría darle al actor la capacidad de calcular las claves de cualquier billetera de criptomonedas. Dicho de otra manera, la idea es aprovechar el alto pero ilegal poder computacional de sus objetivos para ejecutar el solucionador ECDLP y obtener la clave.
Otros dos ataques montados por el grupo implican la explotación de servidores Redis expuestos y API de Docker mal configuradas para implementar mineros de monedas y binarios de Tsunami.
El objetivo de TeamTNT de las API REST de Docker ha sido bien documentado durante el año pasado. pero en un error de seguridad operacional detectado por Trend Micro, se han descubierto las credenciales asociadas con dos de las cuentas de DockerHub controladas por el atacante.
Se dice que las cuentas, alpineos y sandeep078, se usaron para distribuir una variedad de cargas maliciosas como rootkits, kits de explotación de Kubernetes, ladrones de credenciales, mineros XMRig Monero e incluso el malware Kinsing.
«La cuenta alpineos se utilizó en intentos de explotación de nuestros honeypots tres veces, desde mediados de septiembre hasta principios de octubre de 2021, y rastreamos las direcciones IP de las implementaciones hasta su ubicación en Alemania», Nitesh Surana de Trend Micro. dijo.
«Los actores de amenazas iniciaron sesión en sus cuentas en el registro de DockerHub y probablemente olvidaron cerrar sesión». Alternativamente, «los actores de amenazas iniciaron sesión en su cuenta de DockerHub con las credenciales de alpineos».
Trend Micro dijo que la imagen maliciosa de alpineos se había descargado más de 150.000 veces y agregó que notificó a Docker sobre estas cuentas.
También recomienda a las organizaciones configurar la API REST expuesta con TLS para mitigar los ataques de adversarios en el medio (AiTM), así como usar almacenes de credenciales y ayudantes para alojar las credenciales de usuario.