Kinsing 악성코드 배후의 공격자들은 아파치 액티브MQ 암호화폐 채굴기로 취약한 Linux 시스템을 감염시키는 결함을 목표로 하는 심각한 원격 코드 실행(RCE) 취약점입니다.
TrendMicro 연구원들은 이 결함을 악용하는 공격자를 탐지했습니다. CVE-2023-46604 — 암호화폐를 채굴하여 감염된 Linux 시스템에서 리소스를 고갈시킵니다. ActiveMQ는 메시지 지향 미들웨어(MOM)를 구현하는 ASF(Apache Software Foundation)에서 개발한 오픈 소스 프로토콜입니다.
"한 번 킨싱 시스템을 감염시키면 호스트 리소스를 활용하여 비트코인과 같은 암호화폐를 채굴하는 암호화폐 채굴 스크립트를 배포하여 인프라에 심각한 손상을 입히고 시스템 성능에 부정적인 영향을 미칩니다.”라고 TrendMicro 연구원 Peter Girnus는 썼습니다. 게시 20월 말 XNUMX일 출판.
또한 연구원들은 여러 버전의 Apache ActiveMQ 및 Apache ActiveMQ Legacy OpenWire 모듈에 영향을 미치는 취약점의 근본 원인에 대해 새로운 사실을 밝혀냈습니다. 이 결함으로 인해 ActiveMQ 메시지 브로커에 액세스할 수 있는 원격 공격자가 영향을 받는 시스템에서 임의의 명령을 실행할 수 있습니다.
Java로 작성된 ActiveMQ는 메시지 지향 미들웨어(MOM)를 구현하는 Apache에서 개발한 오픈 소스 프로토콜입니다. 주요 기능은 서로 다른 애플리케이션 간에 메시지를 보내는 것이지만 STOMP, JMS(Jakarta Messaging) 및 OpenWire와 같은 추가 기능도 포함되어 있습니다.
ASF는 27월 XNUMX일에 처음으로 결함을 발견했으며, 개념 증명 공격 코드 곧 이어졌습니다. 재단이 신속하게 CVE-2023-46604 패치를 적용했지만 위협 행위자들은 여전히 취약한 수많은 시스템을 공격하는 데 시간을 거의 낭비하지 않았습니다.
세간의 이목을 끄는 기회주의자
Trend Micro에 따르면 이러한 위협 그룹 중 하나인 Kinsing은 이미 유명한 결함을 이용하여 Linux 시스템을 표적으로 삼아 암호화폐를 채굴하고 기타 사악한 활동을 저지르는 것으로 잘 알려져 있습니다.
이전 Kinsing 캠페인에는 다음이 포함됩니다. "Looney Tunables" 활용 Linux 시스템에서 비밀과 데이터를 훔치고 취약한 이미지와 약하게 구성된 PostgreSQL 컨테이너를 악용하는 버그 Kubernetes 클러스터에서 시스템에 대한 초기 액세스 권한을 얻습니다.
TrendMicro에 따르면 이 그룹은 ActiveMQ에 대한 공격에서 ProcessBuilder 메서드를 활용하여 영향을 받는 시스템에서 명령을 실행하여 취약한 시스템에서 Kinsing 암호화폐 채굴기와 악성 코드를 다운로드하고 실행하는 공개 익스플로잇을 사용합니다.
Kinsing의 공격 전략은 일단 시스템을 감염시키면 Monero에 연결된 채굴자나 Log4Shell 및 WebLogic 취약점을 악용하는 채굴자와 같은 경쟁 암호화폐 채굴자를 적극적으로 찾는다는 점에서 독특하다고 Girnus는 지적했습니다.
“그러면 프로세스와 네트워크 연결이 종료됩니다.”라고 그는 썼습니다. “게다가 Kinsing은 감염된 호스트의 crontab에서 경쟁하는 악성 코드와 채굴자를 제거합니다.”
이 작업이 완료되면 Kinsing 바이너리에 Linux 환경 변수가 할당되고 실행됩니다. 그런 다음 Kinsing은 cronjob을 추가하여 매분마다 악성 부트스트랩 스크립트를 다운로드하고 실행합니다. “이것은 영향을 받은 호스트의 지속성을 보장하고 영향을 받은 호스트에서 최신 악성 Kinsing 바이너리를 사용할 수 있도록 보장합니다.”라고 Girnus는 썼습니다.
실제로 Kinsing은 루트킷을 로드하여 지속성과 손상을 두 배로 늘렸습니다. /etc/ld.so.preload, "이것은 전체 시스템 손상을 완료합니다"라고 덧붙였습니다.
근본 원인 및 완화
조사에서 TrendMicro는 패치를 결함에 취약한 시스템과 비교한 결과 근본 원인이 "발생 가능한 클래스 유형의 유효성 검사와 관련된 문제"라는 사실을 발견했습니다. 오픈와이어 명령 게시물에 따르면 마샬링되지 않았습니다.
OpenWire는 널리 사용되는 오픈 소스 메시징 및 통합 플랫폼인 ActiveMQ의 기본 와이어 형식 역할을 하기 위해 MOM과 함께 작동하도록 특별히 설계된 바이너리 프로토콜입니다. 대역폭을 효율적으로 사용하고 다양한 메시지 유형을 지원하는 기능으로 인해 선호되는 형식입니다.
결함의 핵심 문제는 다음과 같습니다. verifyIsThrowable 메소드 에 포함되었습니다 BaseDataStreamMarshall 클래스, Throwable의 클래스 유형을 검증하지 못하는 경우 또는 Java에서 예외 및 오류를 나타내는 객체입니다. 이로 인해 실수로 모든 클래스의 인스턴스가 생성 및 실행되어 RCE 취약점이 발생할 수 있다고 Girnus는 말했습니다.
“따라서 잠재적인 보안 위험을 방지하기 위해 Throwable의 클래스 유형을 항상 검증하는 것이 중요합니다.”라고 그는 썼습니다.
다른 보안 전문가와 마찬가지로 TrendMicro 연구원은 Apache ActiveMQ를 사용하는 조직에 결함을 패치하기 위한 즉각적인 조치를 취하고 Kinsing과 관련된 기타 위험을 완화할 것을 촉구했습니다.
“네트워크 전체에 확산되고 다양한 취약점을 악용할 수 있는 맬웨어의 능력을 고려할 때, 최신 보안 패치를 유지하고 구성을 정기적으로 감사하며 네트워크 트래픽에서 비정상적인 활동을 모니터링하는 것이 중요합니다. 이 모든 것은 포괄적인 사이버 보안 전략의 중요한 구성 요소입니다. "라고 Girnus는 썼습니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/attacks-breaches/kinsing-cyberattackers-target-apache-activemq-flaw-to-mine-crypto
