O grupo de cryptojacking conhecido como Kinsing demonstrou uma capacidade de evoluir e se adaptar continuamente, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas em seu arsenal de exploração e expandir sua botnet. Os resultados vêm da empresa de segurança em nuvem Aqua, que descreveu o ator de ameaça como orquestrando ativamente campanhas ilícitas de mineração de criptomoedas desde 2019.
Kinsing (também conhecido como H2Miner), um nome dado tanto ao malware quanto ao adversário por trás dele, tem consistentemente expandido seu conjunto de ferramentas com novos exploits para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Foi documentado pela primeira vez pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm explorado diversas falhas no Apache ActiveMQ, Apache Log4j, Apache NiFi, Apache Tomcat, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para invadir sistemas vulneráveis.
Outros métodos também envolveram a exploração de configurações inadequadas do Docker, PostgreSQL e instâncias do Redis para obter acesso inicial, após o qual os endpoints são recrutados em uma botnet para mineração de criptomoedas, mas não antes de desativar os serviços de segurança e remover mineradores rivais já instalados nos hosts.
Uma análise subsequente da CyberArk em 2021 descobriu similaridades entre Kinsing e outro malware chamado NSPPS, concluindo que ambas as variantes “representam a mesma família”.
A infraestrutura de ataque do Kinsing cai em três categorias principais: servidores iniciais usados para escanear e explorar vulnerabilidades, servidores de download responsáveis por encenar payloads e scripts e servidores de controle de comando (C2) que mantêm contato com servidores comprometidos.
Os endereços IP usados para os servidores C2 resolvem para a Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.
“Kinsing visa vários sistemas operacionais com diferentes ferramentas,” disse a Aqua. “Por exemplo, o Kinsing frequentemente usa scripts shell e Bash para explorar servidores Linux.”
“Também vimos que o Kinsing está mirando no Openfire em servidores Windows usando um script do PowerShell. Quando é executado no Unix, geralmente está procurando baixar um binário que roda em x86 ou ARM.”
Um aspecto notável das campanhas do ator de ameaça é que 91% das aplicações alvo são de código aberto, sendo que o grupo se concentra principalmente em aplicações em tempo de execução (67%), bancos de dados (9%) e infraestrutura em nuvem (8%).
Uma análise extensa dos artefatos revelou três categorias distintas de programas – scripts do Tipo I e Tipo II, que são implantados após o acesso inicial e são usados para baixar componentes de ataque da próxima etapa, eliminar a concorrência, evadir defesas desabilitando o firewall, encerrar ferramentas de segurança como SELinux, AppArmor e Aliyun Aegis e implantar um rootkit para esconder os processos maliciosos; scripts auxiliares, que são projetados para realizar o acesso inicial explorando uma vulnerabilidade, desativando componentes de segurança específicos associados aos serviços da Alibaba Cloud e Tencent Cloud a partir de um sistema Linux, abrindo um shell reverso para um servidor sob controle do atacante e facilitando a recuperação dos payloads de minerador; e binários, que agem como um payload de segunda etapa, incluindo o malware central Kinsing e o minerador de criptomoedas para minerar Monero.
O malware, por sua vez, é projetado para acompanhar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.
“O Kinsing visa sistemas Linux e Windows, frequentemente explorando vulnerabilidades em aplicações web ou configurações inadequadas como a API do Docker e Kubernetes para executar criptominers,” disse a Aqua. “Para prevenir ameaças potenciais como o Kinsing, medidas proativas como endurecer as cargas de trabalho pré-implementação são cruciais.”
A divulgação ocorre à medida que as famílias de malwares de botnets encontram cada vez mais maneiras de ampliar seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas.
Isso é melhor exemplificado pelo P2PInfect, um malware Rust que foi encontrado explorando servidores Redis mal protegidos para entregar variantes compiladas para arquiteturas MIPS e ARM.
“O payload principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes de arquivos que falam por si mesmos como miner e winminer,” disse a Nozomi Networks, que descobriu amostras visando ARM mais cedo neste ano.
“Como o nome sugere, o malware é capaz de realizar comunicações Peer-to-Peer (P2P) sem depender de um único servidor de Comando e Controle (C&C) para propagar comandos de atacantes.”
