Trend Micro обнаружена активная эксплуатация уязвимости Apache ActiveMQ CVE-2023-46604 для загрузки и заражения Linux-систем вредоносным ПО Kinsing (также известным как h2miner) и криптовалютным майнером. При эксплуатации данная уязвимость приводит к удаленному выполнению кода (RCE), который Kinsing использует для загрузки и установки вредоносного ПО. Сама уязвимость связана с тем, что команды OpenWire не проверяют тип класса throwable, что приводит к RCE.
ActiveMQ (написанный на Java) - протокол с открытым исходным кодом, разработанный компанией Apache и реализующий ориентированное на сообщения промежуточное ПО (MOM). Его основной функцией является передача сообщений между различными приложениями. Он также включает в себя дополнительные функции, такие как STOMP, Jakarta Messaging (JMS) и OpenWire.
Вредоносная программа Kinsing представляет собой критическую угрозу, направленную в первую очередь на системы на базе Linux, способную проникать на серверы и быстро распространяться по сети. Она проникает в систему, используя уязвимости в веб-приложениях или неправильно сконфигурированные контейнерные среды.
В последнее время атакующие Kinsing злоумышленники эксплуатируют такие уязвимости, как CVE-2023-4911 (Looney Tunables). После заражения системы Kinsing запускает криптовалютный майнинг-скрипт, который использует ресурсы хоста для добычи криптовалюты, например Bitcoin, что приводит к значительному ущербу для инфраструктуры и негативно сказывается на производительности системы.
Indicators of Compromise
URLs
- http://185.122.204.197/acb.sh
- http://194.38.22.53/curl-aarch64
- http://194.38.22.53/curl-amd64
- http://194.38.22.53/kinsing
- http://194.38.22.53/kinsing_aarch64
- http://194.38.22.53/libsystem.so
SHA256
- 0cc60a0c480e4d898fa77ab501bbd2afaf3f5fb89a2917a31e7f5fdaa6c3879c
- 787e2c94e6d9ce5ec01f5cbe9ee2518431eca8523155526d6dc85934c9c5787c
- c38c21120d8c17688f9aeb2af5bdafb6b75e1d2673b025b720e50232f888808a
- c6fbd6896d162a12d9c900056781eb82f44649945808b7b009646b5397bcf6bf
- d8f55bbbcc20e81e46b9bf78f93b73f002c76a8fcdb4dc2ae21b8609445c14f9
