O grupo de cryptojacking conhecido como Kinsing demonstrou uma capacidade de evoluir e se adaptar continuamente, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas ao arsenal de exploração e expandir sua botnet. As descobertas vêm da empresa de segurança em nuvem Aqua, que descreveu o ator de ameaça como ativamente orquestrando campanhas ilegais de mineração de criptomoedas desde 2019.
Kinsing (também conhecido como H2Miner), um nome dado tanto ao malware quanto ao adversário por trás dele, sempre ampliou seu conjunto de ferramentas com novas explorações para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Foi primeiramente documentado pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm explorado várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Apache Tomcat, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para violar sistemas vulneráveis.
Outros métodos também envolveram a exploração incorreta do Docker, PostgreSQL e instâncias Redis para obter acesso inicial, após o qual os endpoints são recrutados em uma botnet para mineração de criptomoedas, mas não antes de desabilitar os serviços de segurança e remover mineradores rivais já instalados nos hosts.
Análises subsequentes da CyberArk em 2021 descobriram semelhanças entre Kinsing e outro malware chamado NSPPS, concluindo que ambas as versões “representam a mesma família”.
A infraestrutura de ataque do Kinsing é dividida em três categorias principais: servidores iniciais usados para escanear e explorar vulnerabilidades, servidores de download responsáveis por hospedar payloads e scripts, e servidores de comando e controle (C2) que mantêm contato com servidores comprometidos.
Os endereços IP utilizados para os servidores C2 se resolvem na Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.
“Kinsing visa vários sistemas operacionais com diferentes ferramentas”, disse a Aqua. “Por exemplo, o Kinsing muitas vezes usa scripts shell e Bash para explorar servidores Linux.”
“Também vimos que o Kinsing está mirando o Openfire em servidores Windows usando um script do PowerShell. Quando executado no Unix, geralmente está procurando fazer o download de um binário que roda em x86 ou ARM.”
Outro aspecto notável das campanhas do ator de ameaça é que 91% das aplicações visadas são de código aberto, sendo que o grupo seleciona principalmente aplicações em tempo de execução (67%), bancos de dados (9%) e infraestrutura em nuvem (8%).
Uma análise extensa dos artefatos revelou três categorias distintas de programas:
– Scripts Tipo I e Tipo II, implantados após o acesso inicial e usados para fazer o download de componentes de ataque da próxima etapa, eliminar a concorrência, evadir defesas desabilitando o firewall, encerrar ferramentas de segurança como SELinux, AppArmor e Aliyun Aegis, e implantar um rootkit para ocultar os processos maliciosos;
– Scripts auxiliares, projetados para realizar o acesso inicial explorando uma vulnerabilidade, desativando componentes de segurança específicos associados aos serviços da Alibaba Cloud e Tencent Cloud a partir de um sistema Linux, abrir um shell reverso para um servidor sob o controle do atacante e facilitar a recuperação dos payloads de mineração;
– Binários, que atuam como payload de segunda etapa, incluindo o malware principal do Kinsing e o minerador de criptomoedas para minerar Monero.
O malware, por sua vez, é projetado para monitorar o processo de mineração, compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.
“Kinsing visa sistemas Linux e Windows, muitas vezes explorando vulnerabilidades em aplicações web ou configurações incorretas como a API Docker e Kubernetes para executar criptominers”, disse a Aqua. “Para prevenir ameaças potenciais como o Kinsing, medidas proativas como a proteção de cargas de trabalho antes do seu lançamento são fundamentais.”
A divulgação ocorre à medida que as famílias de malwares de botnet encontram cada vez mais maneiras de ampliar seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas.
Isso é exemplificado pelo P2PInfect, um malware Rust que foi encontrado explorando servidores Redis mal protegidos para distribuir variantes compiladas para arquiteturas MIPS e ARM.
“O payload principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes que falam por si mesmos, como miner e winminer”, disse a Nozomi Networks, que descobriu amostras visando ARM no início deste ano.
“Como seu nome sugere, o malware é capaz de realizar comunicações de Peer-to-Peer (P2P) sem depender de um único servidor de Comando e Controle (C&C) para propagar comandos dos atacantes.”
