Você está visualizando atualmente Kinsing Grupo de Hackers Explora Mais Falhas para Expandir Botnet para Cryptojacking

Kinsing Grupo de Hackers Explora Mais Falhas para Expandir Botnet para Cryptojacking

O grupo de cryptojacking conhecido como Kinsing demonstrou habilidade para evoluir e se adaptar continuamente, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas em seu arsenal de exploração e expandir sua botnet.

As descobertas vêm da empresa de segurança na nuvem Aqua, que descreveu o ator de ameaça como orquestrando ativamente campanhas ilícitas de mineração de criptomoedas desde 2019.

Kinsing (também conhecido como H2Miner), é um nome dado tanto ao malware quanto ao adversário por trás dele, que consistentemente expandiu seu conjunto de ferramentas com novas explorações para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Foi documentado pela primeira vez pela TrustedSec em janeiro de 2020.

Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm explorado várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para invadir sistemas vulneráveis.

Outros métodos também envolveram a exploração de Docker mal configurado, PostgreSQL e instâncias Redis para obter acesso inicial, após o qual os endpoints são reunidos em uma botnet para mineração de criptomoedas, mas não antes de desativar serviços de segurança e remover mineiros rivais já instalados nos hosts.

Análises subsequentes da CyberArk em 2021 revelaram características comuns entre o Kinsing e outro malware chamado NSPPS, concluindo que as duas cepas “representam a mesma família”.

A infraestrutura de ataque do Kinsing se divide em três categorias principais: servidores iniciais usados para escanear e explorar vulnerabilidades, servidores de download responsáveis por encenar payloads e scripts, e servidores de comando e controle (C2) que mantém contato com servidores comprometidos.

Os endereços IP usados para os servidores C2 resolvem para a Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.

“Kinsing visa vários sistemas operacionais com diferentes ferramentas”, disse a Aqua. “Por exemplo, Kinsing muitas vezes usa scripts shell e Bash para explorar servidores Linux.”

“Também vimos que o Kinsing está visando o Openfire em servidores Windows usando um script PowerShell. Ao ser executado no Unix, geralmente procura baixar um binário que roda em x86 ou ARM.”

Outro aspecto notável das campanhas do ator de ameaça é que 91% das aplicações visadas são de código aberto, com o grupo focando principalmente em aplicações em tempo de execução (67%), bancos de dados (9%) e infraestrutura de nuvem (8%).

Uma análise extensiva dos artefatos revelou três categorias distintas de programas – scripts do Tipo I e Tipo II, scripts auxiliares e binários.

O malware, por sua vez, é projetado para monitorar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.

“Kinsing visa sistemas Linux e Windows, muitas vezes explorando vulnerabilidades em aplicações web ou configurações incorretas, como API Docker e Kubernetes para rodar criptomineradores,” disse a Aqua. “Para prevenir possíveis ameaças como o Kinsing, medidas proativas como o endurecimento de cargas de trabalho pré-implementação são cruciais.”

A divulgação ocorre à medida que famílias de malwares de botnet encontram cada vez mais maneiras de ampliar seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas. Isso é exemplificado pelo P2PInfect, um malware Rust que foi encontrado explorando servidores Redis mal protegidos para entregar variantes compiladas para arquiteturas MIPS e ARM.

“O payload principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes de arquivos que falam por si mesmos, como miner e winminer,” disse a Nozomi Networks, que descobriu amostras visando ARM no início deste ano.

“Como o nome sugere, o malware é capaz de realizar comunicações Peer-to-Peer (P2P) sem depender de um único servidor de Comando e Controle (C&C) para propagar os comandos dos invasores.”