Los piratas informáticos de Kinsing aprovechan la vulnerabilidad de Apache ActiveMQ para implementar rootkits de Linux


21 de noviembre de 2023Sala de redacciónLinux/Rootkit

El parentesco Los actores de amenazas están explotando activamente una falla de seguridad crítica en servidores Apache ActiveMQ vulnerables para infectar sistemas Linux con mineros de criptomonedas y rootkits.

“Una vez que Kinsing infecta un sistema, implementa un script de minería de criptomonedas que explota los recursos del host para extraer criptomonedas como Bitcoin, lo que provoca daños significativos a la infraestructura y un impacto negativo en el rendimiento del sistema”, dijo el investigador de seguridad de Trend Micro, Peter Girnus. dicho.

La seguridad cibernética

parentesco se refiere a un malware de Linux con un historial de atacar entornos en contenedores mal configurados para la minería de criptomonedas, utilizando a menudo recursos del servidor comprometidos para generar ganancias ilícitas para los actores de la amenaza.

También se sabe que el grupo adapta rápidamente sus tácticas para incluir fallas recientemente reveladas en aplicaciones web para violar las redes objetivo y entregar criptomineros. A principios de este mes, Aqua reveló los intentos del actor de amenazas de explotar una falla de escalada de privilegios de Linux llamada Looney Tunables para infiltrarse en entornos de nube.

Vulnerabilidad de Apache ActiveMQ

La última campaña implica el abuso de CVE-2023-46604 (puntuación CVSS: 10.0), una vulnerabilidad crítica explotada activamente en Apache ActiveMQ que permite la ejecución remota de código, lo que permite al adversario descargar e instalar el malware Kinsing.

A esto le sigue la recuperación de cargas útiles adicionales de un dominio controlado por el actor y, al mismo tiempo, se toman medidas para eliminar a los mineros de criptomonedas competidores que ya se ejecutan en el sistema infectado.

La seguridad cibernética

“Kinsing duplica su persistencia y compromiso al cargando su rootkit en /etc/ld.so.preload, lo que completa un compromiso total del sistema”, dijo Girnus.

A la luz de la continua explotación de la falla, se recomienda a las organizaciones que ejecutan versiones afectadas de Apache ActiveMQ que actualicen a una versión parcheada lo antes posible para mitigar posibles amenazas.

¿Encontró interesante este artículo? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57