O grupo de cryptojacking conhecido como Kinsing demonstrou uma capacidade de evolução contínua e adaptação, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas ao arsenal de exploração e expandir sua botnet.
As descobertas vêm da empresa de segurança em nuvem Aqua, que descreveu o ator de ameaça como orquestrando ativamente campanhas ilícitas de mineração de criptomoedas desde 2019.
O Kinsing (também conhecido como H2Miner), nome dado tanto ao malware quanto ao adversário por trás dele, tem consistentemente expandido seu conjunto de ferramentas com novas explorações para inscrever sistemas infectados em uma botnet de mineração de criptomoedas. Ele foi primeiramente documentado pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm armado várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Apache Tomcat, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para invadir sistemas vulneráveis.
Outros métodos também envolveram a exploração de Docker mal configurado, PostgreSQL e instâncias Redis para obter acesso inicial, após o qual os endpoints são reunidos em uma botnet para mineração de criptomoedas, mas não antes de desativar serviços de segurança e remover mineradores concorrentes já instalados nos hosts.
Análises posteriores da CyberArk em 2021 descobriram similaridades entre o Kinsing e outro malware chamado NSPPS, concluindo que ambas as cepas “representam a mesma família”.
A infraestrutura de ataque do Kinsing se divide em três categorias principais: servidores iniciais usados para varredura e exploração de vulnerabilidades, servidores de download responsáveis pelo armazenamento de payloads e scripts, e servidores de controle de comando e controle (C2) que mantêm contato com servidores comprometidos.
Os endereços IP usados para servidores C2 resolvem para a Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Países Baixos e Ucrânia.
“Kinsing ataca vários sistemas operacionais com diferentes ferramentas”, disse a Aqua. “Por exemplo, o Kinsing geralmente usa scripts shell e Bash para explorar servidores Linux.”
“Também vimos que o Kinsing está atacando o Openfire em servidores Windows usando um script PowerShell. Quando executado no Unix, ele geralmente procura baixar um binário que roda em x86 ou ARM.”
Outro aspecto notável das campanhas do ator de ameaças é que 91% das aplicações visadas são de código aberto, com o grupo mirando principalmente em aplicações em tempo de execução, bancos de dados e infraestrutura de nuvem.
Uma análise extensiva dos artefatos revelou ainda três categorias distintas de programas: scripts do Tipo I e Tipo II, scripts auxiliares e binários.
O malware, por sua vez, é projetado para monitorar o processo de mineração, compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar os resultados de execução, entre outros.
“O Kinsing visa sistemas Linux e Windows, muitas vezes explorando vulnerabilidades em aplicações web ou configurações inadequadas, como a API Docker e Kubernetes para executar mineradores de criptomoedas”, disse a Aqua. “Para evitar possíveis ameaças como o Kinsing, medidas proativas como o endurecimento de cargas de trabalho pré-implementação são cruciais.”
A divulgação ocorre à medida que as famílias de malwares de botnet encontram cada vez mais maneiras de ampliar sua influência e recrutar máquinas em uma rede para realizar atividades maliciosas.
Isso é exemplificado pelo P2PInfect, um malware Rust que foi descoberto explorando servidores Redis mal protegidos para distribuir variantes compiladas para arquiteturas MIPS e ARM.
“O payload principal é capaz de realizar várias operações, incluindo propagar e fornecer outros módulos com nomes de arquivos que falam por si, como miner e winminer”, disse a Nozomi Networks, que descobriu amostras visando ARM ainda este ano.
“Como o nome sugere, o malware é capaz de realizar comunicações peer-to-peer (P2P) sem depender de um único servidor de comando e controle (C&C) para propagar comandos de atacantes.”
