O grupo de cryptojacking conhecido como Kinsing demonstrou sua capacidade de evoluir continuamente e se adaptar, provando ser uma ameaça persistente ao integrar rapidamente vulnerabilidades recém-divulgadas ao seu arsenal de exploração e expandir seu botnet.
As descobertas vêm da empresa de segurança na nuvem Aqua, que descreveu o ator de ameaça como ativamente orquestrando campanhas de mineração ilegal de criptomoedas desde 2019.
Kinsing (também conhecido como H2Miner), um nome dado tanto ao malware quanto ao adversário por trás dele, tem consistentemente expandido seu kit de ferramentas com novos exploits para inscrever sistemas infectados em um botnet de mineração de cripto.
Ele foi documentado pela primeira vez pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo o malware baseado em Golang têm armado diferentes falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para violar sistemas vulneráveis.
Outros métodos também têm envolvido a exploração de configurações incorretas em instâncias Docker, PostgreSQL e Redis para obter acesso inicial, após o qual os endpoints são agrupados em um botnet para mineração de cripto, mas não antes de desativar serviços de segurança e remover mineradores rivais já instalados nos hosts.
Uma análise subsequente pela CyberArk em 2021 descobriu semelhanças entre Kinsing e outro malware chamado NSPPS, concluindo que ambas as cepas "representam a mesma família".
A infraestrutura de ataque do Kinsing cai em três categorias principais: servidores iniciais usados para escanear e explorar vulnerabilidades, servidores de download responsáveis por preparar payloads e scripts, e servidores de comando e controle (C2) que mantêm contato com servidores comprometidos.
Os endereços IP usados para servidores C2 resolvem para a Rússia, enquanto aqueles usados para baixar os scripts e binários abrangem países como Luxemburgo, Rússia, Países Baixos e Ucrânia.
"Kinsing tem como alvo vários sistemas operacionais com diferentes ferramentas," disse Aqua.
Por exemplo, Kinsing frequentemente usa scripts shell e Bash para explorar servidores Linux.
Também vimos que Kinsing está mirando em servidores Openfire no Windows usando um script PowerShell. Quando executado no Unix, geralmente procura baixar um binário que roda em x86 ou ARM.
Outro aspecto notável das campanhas do ator de ameaça é que 91% das aplicações alvo são de código aberto, com o grupo visando principalmente aplicações de runtime (67%), bancos de dados (9%) e infraestrutura na nuvem (8%).
Uma análise extensiva dos artefatos revelou ainda três categorias distintas de programas:
Scripts do Tipo I e II, que são implantados após o acesso inicial e são usados para baixar componentes de ataque da próxima fase, eliminar a concorrência e evadir defesas desativando firewall, terminando ferramentas de segurança como SELinux, AppArmor e Aliyun Aegis, e implantando um rootkit para esconder os processos maliciosos
Scripts auxiliares, que são projetados para conquistar acesso inicial explorando uma vulnerabilidade, desativar componentes de segurança específicos associados aos serviços da Alibaba Cloud e Tencent Cloud de um sistema Linux, abrir um shell reverso para um servidor sob controle do atacante e facilitar o recolhimento de payloads de mineradores
Binários, que agem como um payload de segunda fase, incluindo o malware Kinsing principal e o crypto-miner para minerar Monero
O malware, por sua parte, é projetado para monitorar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.
"Kinsing visa sistemas Linux e Windows, frequentemente explorando vulnerabilidades em aplicações web ou configurações incorretas como a API do Docker e Kubernetes para executar cryptominers," disse Aqua.
Para prevenir potenciais ameaças como Kinsing, medidas proativas como o reforço de cargas de trabalho antes da implementação são cruciais.
A divulgação vem no momento em que famílias de malware botnet estão cada vez mais encontrando maneiras de expandir seu alcance e recrutar máquinas em uma rede para realizar atividades maliciosas.
Isso é melhor exemplificado pelo P2PInfect, um malware Rust que foi encontrado explorando servidores Redis mal-segurados para entregar variantes compiladas para arquiteturas MIPS e ARM.
A carga principal é capaz de realizar várias operações, incluindo a propagação e entrega de outros módulos com nomes que falam por si mesmos como miner e winminer," disse Nozomi Networks, que descobriu amostras mirando ARM no início deste ano.
Como o nome sugere, o malware é capaz de realizar comunicações Peer-to-Peer (P2P) sem depender de um único servidor de Comando e Controle (C&C) para propagar comandos dos atacantes.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...