किंसिंग मैलवेयर के पीछे के हमलावर इसका फायदा उठाने वाले नवीनतम हैं अपाचे एक्टिवएमक्यू महत्वपूर्ण रिमोट कोड निष्पादन (आरसीई) भेद्यता, एक क्रिप्टोकरेंसी माइनर के साथ कमजोर लिनक्स सिस्टम को संक्रमित करने के दोष को लक्षित करता है।
ट्रेंडमाइक्रो के शोधकर्ताओं ने हमलावरों को दोष का फायदा उठाते हुए पाया - इस प्रकार ट्रैक किया गया CVE-2023-46604 - क्रिप्टोकरेंसी को माइन करने के लिए, इस प्रकार संक्रमित लिनक्स सिस्टम से संसाधनों को ख़त्म करना। ActiveMQ अपाचे सॉफ्टवेयर फाउंडेशन (ASF) द्वारा विकसित एक ओपन सोर्स प्रोटोकॉल है जो संदेश-उन्मुख मिडलवेयर (MOM) को लागू करता है।
"एक बार किंसिंग एक सिस्टम को संक्रमित करता है, यह एक क्रिप्टोकुरेंसी-माइनिंग स्क्रिप्ट को तैनात करता है जो बिटकॉइन जैसी क्रिप्टोकुरेंसी को माइन करने के लिए होस्ट के संसाधनों का शोषण करता है, जिसके परिणामस्वरूप बुनियादी ढांचे को महत्वपूर्ण नुकसान होता है और सिस्टम प्रदर्शन पर नकारात्मक प्रभाव पड़ता है, "ट्रेंडमाइक्रो शोधकर्ता पीटर गिरनस ने लिखा है पास पोस्ट करने के लिए 20 नवंबर के अंत में प्रकाशित।
शोधकर्ताओं ने भेद्यता के मूल कारण पर भी नई रोशनी डाली, जो Apache ActiveMQ और Apache ActiveMQ लिगेसी ओपनवायर मॉड्यूल के कई संस्करणों को प्रभावित करती है। दोष एक दूरस्थ हमलावर को ActiveMQ संदेश ब्रोकर तक पहुंच के साथ प्रभावित सिस्टम पर मनमाने आदेशों को निष्पादित करने की अनुमति देता है।
जावा में लिखा गया ActiveMQ, Apache द्वारा विकसित एक ओपन-सोर्स प्रोटोकॉल है जो संदेश-उन्मुख मिडलवेयर (MOM) को लागू करता है। इसका मुख्य कार्य विभिन्न अनुप्रयोगों के बीच संदेश भेजना है, लेकिन इसमें STOMP, जकार्ता मैसेजिंग (JMS), और ओपनवायर जैसी अतिरिक्त सुविधाएं भी शामिल हैं।
एएसएफ ने पहली बार 27 अक्टूबर को खामी का पता लगाया और प्रूफ़-ऑफ़-कॉन्सेप्ट शोषण कोड शीघ्र ही अनुसरण किया गया। हालाँकि फाउंडेशन सीवीई-2023-46604 को पैच करने के लिए तेजी से आगे बढ़ा, लेकिन ख़तरनाक अभिनेताओं ने उन असंख्य प्रणालियों पर हमला करने में बहुत कम समय बर्बाद किया है जो असुरक्षित बनी हुई हैं।
हाई-प्रोफाइल अवसरवादी
ट्रेंड माइक्रो के अनुसार, उन ख़तरनाक समूहों में से एक, किंसिंग, पहले से ही क्रिप्टोकरेंसी को माइन करने और अन्य नापाक गतिविधियों को अंजाम देने के लिए लिनक्स सिस्टम को लक्षित करने के लिए हाई-प्रोफाइल खामियों का फायदा उठाने के लिए प्रसिद्ध है।
पिछले किंसिंग अभियानों में शामिल हैं "लूनी ट्यूनेबल्स" का शोषण लिनक्स सिस्टम से रहस्य और डेटा चुराने के लिए बग, और कमजोर छवियों और कमजोर रूप से कॉन्फ़िगर किए गए PostgreSQL कंटेनरों का शोषण कुबेरनेट्स समूहों में सिस्टम तक प्रारंभिक पहुंच प्राप्त करने के लिए।
ट्रेंडमाइक्रो के अनुसार, ActiveMQ पर अपने हमले में, समूह सार्वजनिक कारनामों का उपयोग करता है जो किंसिंग क्रिप्टोकरेंसी माइनर्स और मैलवेयर को डाउनलोड करने और निष्पादित करने के लिए प्रभावित सिस्टम पर कमांड निष्पादित करने के लिए प्रोसेसबिल्डर विधि का लाभ उठाता है।
किंसिंग की हमले की रणनीति इस मायने में अनूठी है कि एक बार जब यह किसी सिस्टम को संक्रमित कर देता है, तो यह सक्रिय रूप से प्रतिस्पर्धी क्रिप्टो खनिकों की तलाश करता है - जैसे कि मोनेरो से जुड़े लोग या जो लॉग4शेल और वेबलॉजिक कमजोरियों का फायदा उठाते हैं, गिरनस ने कहा।
"इसके बाद यह उनकी प्रक्रियाओं और नेटवर्क कनेक्शनों को ख़त्म करने के लिए आगे बढ़ता है," उन्होंने लिखा। "इसके अलावा, किंसिंग संक्रमित होस्ट के क्रॉस्टैब से प्रतिस्पर्धी मैलवेयर और खनिकों को हटा देता है।"
एक बार यह हो जाने के बाद, किंसिंग बाइनरी को एक लिनक्स पर्यावरण चर सौंपा जाता है और निष्पादित किया जाता है, जिसके बाद किंसिंग हर मिनट अपनी दुर्भावनापूर्ण बूटस्ट्रैप स्क्रिप्ट को डाउनलोड करने और निष्पादित करने के लिए एक क्रोनजॉब जोड़ता है। गिरनस ने लिखा, "यह प्रभावित होस्ट पर दृढ़ता सुनिश्चित करता है और यह भी सुनिश्चित करता है कि नवीनतम दुर्भावनापूर्ण किंसिंग बाइनरी प्रभावित होस्ट पर उपलब्ध है।"
वास्तव में, किंसिंग अपने रूटकिट को लोड करके अपनी दृढ़ता और समझौता को दोगुना कर देता है /etc/ld.so.preload, "जो एक पूर्ण सिस्टम समझौता पूरा करता है," उन्होंने कहा।
मूल कारण और शमन
अपनी जांच में, ट्रेंडमाइक्रो ने पैच की तुलना दोष के प्रति संवेदनशील सिस्टम से की और पाया कि इसका मूल कारण "फेंकने योग्य वर्ग प्रकारों के सत्यापन से संबंधित एक मुद्दा है जब ओपनवायर कमांड पोस्ट के अनुसार, अनमर्शल्ड हैं।
ओपनवायर एक बाइनरी प्रोटोकॉल है जिसे विशेष रूप से MOM के साथ काम करने के लिए डिज़ाइन किया गया है ताकि यह ActiveMQ के मूल वायर प्रारूप के रूप में काम कर सके, जो व्यापक रूप से उपयोग किया जाने वाला ओपन सोर्स मैसेजिंग और एकीकरण प्लेटफॉर्म है। बैंडविड्थ के कुशल उपयोग और संदेश प्रकारों की एक विस्तृत श्रृंखला का समर्थन करने की क्षमता के कारण यह एक पसंदीदा प्रारूप है।
दोष के मूल में मुद्दा यह है ValidateIsThrowable विधि में शामिल किया गया है बेसडेटास्ट्रीममार्शल क्लास, जो थ्रोएबल के वर्ग प्रकार, या जावा में अपवादों और त्रुटियों का प्रतिनिधित्व करने वाली वस्तु को मान्य करने में विफल रहता है। गिरनस ने कहा, यह गलती से किसी भी वर्ग के उदाहरण बना और निष्पादित कर सकता है, जिसके परिणामस्वरूप आरसीई कमजोरियां हो सकती हैं।
"इसलिए, यह सुनिश्चित करना आवश्यक है कि संभावित सुरक्षा जोखिमों को रोकने के लिए थ्रोएबल के वर्ग प्रकार को हमेशा मान्य किया जाए," उन्होंने लिखा।
अन्य सुरक्षा विशेषज्ञों की तरह, ट्रेंडमाइक्रो शोधकर्ताओं ने अपाचे एक्टिवएमक्यू का उपयोग करने वाले संगठनों से दोष को ठीक करने के लिए तत्काल कार्रवाई करने के साथ-साथ किंसिंग से जुड़े किसी भी अन्य जोखिम को कम करने का आग्रह किया।
“मैलवेयर की पूरे नेटवर्क में फैलने और कई कमजोरियों का फायदा उठाने की क्षमता को देखते हुए, अद्यतन सुरक्षा पैच बनाए रखना, नियमित रूप से कॉन्फ़िगरेशन का ऑडिट करना और असामान्य गतिविधि के लिए नेटवर्क ट्रैफ़िक की निगरानी करना महत्वपूर्ण है, ये सभी एक व्यापक साइबर सुरक्षा रणनीति के महत्वपूर्ण घटक हैं। , “गिरनुस ने लिखा।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
- प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
- प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/attacks-breaches/kinsing-cyberattackers-target-apache-activemq-flaw-to-mine-crypto
