Những kẻ đứng sau mã độc Kinsing đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng trong các máy chủ Apache ActiveMQ để lây nhiễm phần mềm đào tiền ảo và rootkit vào các hệ thống Linux.
Theo nhà nghiên cứu bảo mật Peter Girnus của Trend Micro, sau khi Kinsing xâm nhập thành công vào hệ thống, nó sẽ triển khai một đoạn mã khai thác tiền điện tử, tận dụng tối đa tài nguyên của máy chủ để đào các loại tiền ảo như Bitcoin. Điều này gây ra những thiệt hại đáng kể cho cơ sở hạ tầng và ảnh hưởng tiêu cực đến hiệu suất của hệ thống.
Kinsing là một loại mã độc Linux khét tiếng, thường nhắm vào các môi trường container hóa cấu hình sai để khai thác tiền điện tử. Chúng lợi dụng tài nguyên máy chủ bị xâm nhập để tạo ra lợi nhuận bất hợp pháp cho những kẻ tấn công.
Nhóm này còn nổi tiếng với khả năng nhanh chóng thích ứng các chiến thuật tấn công, bao gồm cả việc khai thác các lỗ hổng mới được phát hiện trong các ứng dụng web để xâm nhập vào mạng và cài đặt các công cụ đào tiền ảo. Đầu tháng này, Aqua tiết lộ rằng nhóm tin tặc này đã cố gắng khai thác một lỗ hổng leo thang đặc quyền trên Linux có tên Looney Tunables để xâm nhập vào các môi trường đám mây.
Chiến dịch mới nhất này tập trung vào việc khai thác CVE-2023-46604 (với điểm CVSS là 10.0), một lỗ hổng nghiêm trọng đang bị khai thác tích cực trong Apache ActiveMQ. Lỗ hổng này cho phép thực thi mã từ xa, tạo điều kiện cho kẻ tấn công tải xuống và cài đặt mã độc Kinsing.
Sau đó, chúng sẽ tải thêm các công cụ khác từ một máy chủ do chúng kiểm soát, đồng thời thực hiện các bước để loại bỏ các phần mềm đào tiền ảo khác đang chạy trên hệ thống bị nhiễm.
Theo Girnus, Kinsing tăng cường khả năng tồn tại và kiểm soát hệ thống bằng cách tải rootkit của nó vào /etc/ld.so.preload, hoàn tất quá trình xâm nhập toàn bộ hệ thống.
Trước tình hình lỗ hổng này tiếp tục bị khai thác, các tổ chức đang sử dụng các phiên bản Apache ActiveMQ bị ảnh hưởng nên cập nhật lên phiên bản đã được vá lỗi càng sớm càng tốt để giảm thiểu các mối đe dọa tiềm ẩn.
Thông tin này được đưa ra trong bối cảnh Trung tâm ứng cứu khẩn cấp bảo mật AhnLab (ASEC) cảnh báo về các cuộc tấn công mạng nhắm vào các máy chủ web Apache dễ bị tấn công để thực hiện một chiến dịch khai thác tiền điện tử. Chiến dịch này sử dụng Cobalt Strike hoặc Gh0st RAT để cài đặt phần mềm đào tiền ảo.
Cập nhật:
Công ty an ninh mạng của Pháp Sekoia, trong một phân tích được công bố vào ngày 11 tháng 12 năm 2023, cho biết họ đã quan sát thấy việc khai thác liên tục lỗ hổng Apache ActiveMQ bởi những kẻ đứng sau mã độc Kinsing, thậm chí đến ngày 24 tháng 11, để phát tán phần mềm đào tiền điện tử trên các máy chủ dễ bị tấn công.
Công ty này cho biết: “Nhiều vụ xâm nhập do khai thác lỗ hổng này là một lời nhắc nhở về tầm quan trọng của việc áp dụng các bản vá bảo mật ngay khi chúng được phát hành và tầm quan trọng của việc kiểm soát phạm vi của lỗ hổng, đặc biệt là liên quan đến các dịch vụ dockerized.”
Giải thích thuật ngữ:
- Rootkit: Một bộ công cụ phần mềm độc hại được thiết kế để che giấu sự tồn tại của phần mềm độc hại và cho phép truy cập trái phép vào hệ thống máy tính.
- CVE (Common Vulnerabilities and Exposures): Một danh sách các lỗ hổng bảo mật đã biết được công khai, mỗi lỗ hổng được gán một mã định danh duy nhất.
- CVSS (Common Vulnerability Scoring System): Một tiêu chuẩn mở để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật.
- Cobalt Strike: Một công cụ kiểm tra xâm nhập được sử dụng để mô phỏng các cuộc tấn công mạng và đánh giá khả năng phòng thủ của hệ thống.
- Gh0st RAT (Remote Access Trojan): Một loại Trojan cho phép kẻ tấn công kiểm soát máy tính từ xa.
- Dockerized services: Các ứng dụng được đóng gói và chạy trong các container Docker, giúp chúng dễ dàng triển khai và quản lý trên nhiều môi trường khác nhau.
