O grupo de cryptojacking conhecido como Kinsing demonstrou habilidade para evoluir e se adaptar continuamente, se mostrando uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-descobertas ao arsenal de exploração e expandir sua botnet.

As descobertas são da empresa de segurança em nuvem Aqua, que descreveu o agente malicioso como orquestrador ativo de campanhas ilícitas de mineração de criptomoedas desde 2019.

Kinsing (também conhecido como H2Miner), um nome dado tanto ao malware quanto ao adversário por trás dele, tem expandido consistentemente seu conjunto de ferramentas com novas explorações para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Foi primeiramente documentado pela empresa TrustedSec em janeiro de 2020.

Nos últimos anos, as campanhas envolvendo o malware baseado em Golang têm utilizado várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Apache Tomcat, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para violar sistemas vulneráveis.

Outros métodos também envolveram a exploração de configurações incorretas do Docker, PostgreSQL e instâncias Redis para obter acesso inicial, após o qual os endpoints são convertidos em uma botnet para mineração de criptomoedas, mas não antes de desabilitar serviços de segurança e remover mineradores rivais já instalados nos hosts.

Análises posteriores da CyberArk em 2021 descobriram similaridades entre o Kinsing e outro malware chamado NSPPS, concluindo que ambas as cepas “representam a mesma família”.

A infraestrutura de ataque do Kinsing é dividida em três categorias principais: servidores iniciais usados para varredura e exploração de vulnerabilidades, servidores de download responsáveis por encenar cargas úteis e scripts, e servidores de comando e controle (C2) que mantêm contato com servidores comprometidos.

Os endereços IP usados para os servidores C2 resolvem para a Rússia, enquanto os endereços usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.

“O Kinsing tem como alvo vários sistemas operacionais com diferentes ferramentas”, disse a Aqua. “Por exemplo, o Kinsing frequentemente usa scripts de shell e Bash para explorar servidores Linux.”

“Também vimos que o Kinsing está mirando no Openfire em servidores Windows usando um script PowerShell. Quando em execução no Unix, geralmente está procurando baixar um binário que roda em x86 ou ARM.”

Outro aspecto notável das campanhas do agente malicioso é que 91% das aplicações visadas são de código aberto, com o grupo focando principalmente em aplicações de tempo de execução (67%), bancos de dados (9%) e infraestrutura de nuvem (8%).

Uma extensa análise dos artefatos revelou ainda três categorias distintas de programas – scripts Tipo I e Tipo II, utilizados para baixar componentes de ataque de próxima fase, eliminar a concorrência, evadir defesas desativando firewall, terminar ferramentas de segurança como SELinux, AppArmor e Aliyun Aegis e implantar um rootkit para esconder os processos maliciosos; scripts auxiliares, projetados para obter acesso inicial, abrir um shell reverso para um servidor sob controle do atacante e facilitar a recuperação de cargas de mineradores; e binários, atuando como uma carga de segunda fase, incluindo o malware central do Kinsing e o minerador de Monero.

O malware foi projetado para monitorar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.

“O Kinsing visa sistemas Linux e Windows, muitas vezes explorando vulnerabilidades em aplicações da web ou configurações incorretas como a API do Docker e Kubernetes para executar criptomineiros,” disse a Aqua. “Para prevenir ameaças potenciais como o Kinsing, medidas proativas como endurecer as cargas de trabalho antes da implementação são cruciais.”

A divulgação ocorre à medida que as famílias de malware de botnet estão encontrando maneiras de ampliar seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas.

Isso é melhor exemplificado pelo P2PInfect, um malware Rust que tem sido encontrado para explorar servidores Redis mal protegidos para entregar variantes compiladas para arquiteturas MIPS e ARM.

“O payload principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes que falam por si mesmos como miner e winminer,” disse a Nozomi Networks, que descobriu amostras visando ARM no início deste ano.

“Como o nome sugere, o malware é capaz de realizar comunicações peer-to-peer (P2P) sem depender de um único servidor de comando e controle (C&C) para propagar comandos dos atacantes.”