Le Kinésithérapie les acteurs malveillants exploitent activement une faille de sécurité critique dans les serveurs Apache ActiveMQ vulnérables pour infecter les systèmes Linux avec des mineurs et des rootkits de cryptomonnaie.
« Une fois que Kinsing infecte un système, il déploie un script d’extraction de crypto-monnaie qui exploite les ressources de l’hôte pour extraire des crypto-monnaies comme Bitcoin, ce qui entraîne des dommages importants à l’infrastructure et un impact négatif sur les performances du système », a déclaré Peter Girnus, chercheur en sécurité chez Trend Micro. dit.
Kinésithérapie fait référence à un malware Linux ayant pour habitude de cibler des environnements conteneurisés mal configurés pour l’extraction de cryptomonnaies, utilisant souvent des ressources de serveur compromises pour générer des profits illicites pour les acteurs de la menace.
Le groupe est également connu pour adapter rapidement ses tactiques pour inclure des failles récemment révélées dans les applications Web afin de violer les réseaux cibles et de fournir des mineurs de crypto. Plus tôt ce mois-ci, Aqua a révélé les tentatives de l’acteur malveillant d’exploiter une faille d’élévation de privilèges Linux appelée Looney Tunables pour infiltrer les environnements cloud.
La dernière campagne implique l’abus de CVE-2023-46604 (score CVSS : 10,0), une vulnérabilité critique activement exploitée dans Apache ActiveMQ qui permet l’exécution de code à distance, permettant à l’adversaire de télécharger et d’installer le malware Kinsing.
Ceci est suivi par la récupération de charges utiles supplémentaires à partir d’un domaine contrôlé par un acteur tout en prenant simultanément des mesures pour mettre fin aux mineurs de cryptomonnaie concurrents déjà exécutés sur le système infecté.
« Kinsing redouble de persévérance et de compromis en charger son rootkit dans /etc/ld.so.preload, ce qui constitue une compromission complète du système », a déclaré Girnus.
À la lumière de l’exploitation continue de la faille, il est recommandé aux organisations exécutant les versions concernées d’Apache ActiveMQ de mettre à jour vers une version corrigée dès que possible afin d’atténuer les menaces potentielles.