O grupo de cryptojacking conhecido como Kinsing demonstrou habilidade para evoluir e se adaptar continuamente, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas ao arsenal de exploits e expandir sua botnet.
As descobertas vêm da empresa de segurança em nuvem Aqua, que descreve o ator de ameaça como orquestrando ativamente campanhas ilícitas de mineração de criptomoedas desde 2019.
Kinsing (também conhecido como H2Miner), um nome dado tanto ao malware quanto ao adversário por trás dele, tem consistentemente expandido seu conjunto de ferramentas com novos exploits para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Foi primeiramente documentado pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm utilizado várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Apache Tomcat, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para invadir sistemas vulneráveis.
Outros métodos também envolveram explorar Docker mal configurado, PostgreSQL e instâncias Redis para obter acesso inicial, após o qual os endpoints são orientados para uma botnet de mineração de criptomoedas, mas não sem antes desativar serviços de segurança e remover mineradores concorrentes já instalados nos hosts.
Análises subsequentes da CyberArk em 2021 revelaram similaridades entre Kinsing e outro malware chamado NSPPS, concluindo que ambas as cepas “representam a mesma família”.
A infraestrutura de ataque do Kinsing se divide em três categorias principais: servidores iniciais usados para escanear e explorar vulnerabilidades, servidores de download responsáveis por preparar cargas úteis e scripts, e servidores de comando e controle (C2) que mantêm contato com servidores comprometidos.
Os endereços IP usados para servidores C2 são da Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.
“Kinsing mira em diversos sistemas operacionais com diferentes ferramentas”, disse a Aqua. “Por exemplo, Kinsing frequentemente utiliza scripts shell e Bash para explorar servidores Linux.”
“Também vimos que o Kinsing está mirando o Openfire em servidores Windows usando um script do PowerShell. Ao rodar em Unix, geralmente busca baixar um binário que roda em x86 ou ARM.”
Um aspecto importante das campanhas do ator de ameaça é que 91% das aplicações visadas são de código aberto, com o grupo focando principalmente em aplicações em tempo de execução (67%), bancos de dados (9%) e infraestrutura em nuvem (8%).
Uma análise extensiva dos artefatos revelou três categorias distintas de programas – scripts do Tipo I e Tipo II, scripts auxiliares e binários, atuando como carga útil de segundo estágio, incluindo o malware principal do Kinsing e o minerador de Monero.
O malware, por sua vez, é projetado para monitorar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.
“Kinsing mira em sistemas Linux e Windows, frequentemente explorando vulnerabilidades em aplicações web ou configurações erradas como a API Docker e o Kubernetes para rodar criptomineradores”, disse a Aqua. “Para prevenir potenciais ameaças como o Kinsing, medidas proativas como fortalecer as cargas de trabalho pré-deployment são essenciais.”
A divulgação vem em um momento em que famílias de malwares de botnet estão encontrando maneiras de ampliar seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas.
Isso é melhor exemplificado pelo P2PInfect, um malware Rust que tem sido encontrado explorando servidores Redis mal seguros para entregar variantes compiladas para arquiteturas MIPS e ARM.
“O payload principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes que falam por si mesmos como miner e winminer”, disse a Nozomi Networks, que descobriu amostras mirando ARM no início deste ano.
“Como seu nome sugere, o malware é capaz de realizar comunicações Peer-to-Peer (P2P) sem depender de um único servidor de Comando e Controle (C&C) para propagar comandos de atacantes.”
