Kinsingハッカーグループは、新たに公開された脆弱性を迅速に組み込むことで、そのボットネットを拡大し続けている。このグループは、2019年から不正な暗号通貨マイニングキャンペーンを積極的に展開している。Kinsing(またはH2Minerとも呼ばれる)は、感染したシステムを暗号マイニングボットネットに登録するために、新しいエクスプロイトを継続的に追加してきた。このマルウェアは、Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server、SaltStackなどの様々な脆弱性を悪用している。また、Docker、PostgreSQL、Redisの誤設定を利用して初期アクセスを得た後、セキュリティサービスを無効にし、ホスト上に既にインストールされている競合するマイナーを削除することで、エンドポイントをボットネットに組み込む。
Kinsingの攻撃インフラは、脆弱性をスキャンして悪用する初期サーバー、ペイロードとスクリプトをステージングするダウンロードサーバー、そして侵害されたサーバーと連絡を保つコマンドアンドコントロール(C2)サーバーの3つの主要なカテゴリに分かれている。C2サーバーのIPアドレスはロシアに、スクリプトとバイナリをダウンロードするために使用されるIPアドレスは、ルクセンブルク、ロシア、オランダ、ウクライナなどの国々に割り当てられている。
KinsingはLinuxサーバーを悪用するためにシェルとBashスクリプトを頻繁に使用し、Windowsサーバー上のOpenfireをターゲットにする際にはPowerShellスクリプトを使用する。このグループは、91%のターゲットアプリケーションがオープンソースであり、主にランタイムアプリケーション(67%)、データベース(9%)、クラウドインフラ(8%)を狙っている。
攻撃後のスクリプト(Type IおよびType II)、補助スクリプト、およびバイナリーは、初期アクセス後の攻撃コンポーネントのダウンロード、競合の排除、防御回避、およびMoneroをマイニングするためのコアKinsingマルウェアとクリプトマイナーを含む第二段階のペイロードとして機能する。マルウェアはマイニングプロセスを監視し、プロセス識別子(PID)をC2サーバーと共有し、接続チェックを実行し、実行結果を送信するなどの機能を持つ。
KinsingはLinuxとWindowsシステムをターゲットにし、Webアプリケーションの脆弱性やDocker APIおよびKubernetesの誤設定などを悪用してクリプトマイナーを実行する。Kinsingのような潜在的な脅威を防ぐためには、デプロイ前のワークロードの強化などの予防策が重要である。
【ニュース解説】
Kinsingハッカーグループは、新たに公開された脆弱性を迅速に取り入れ、そのボットネットを拡大し続けていることが明らかになりました。このグループは、不正な暗号通貨マイニングキャンペーンを2019年から積極的に展開しており、感染したシステムを暗号マイニングボットネットに組み込むために、新しいエクスプロイトを継続的に追加しています。
Kinsingは、Apache ActiveMQ、Apache Log4j、Apache NiFi、Atlassian Confluence、Citrix、Liferay Portal、Linux、Openfire、Oracle WebLogic Server、SaltStackなど、多岐にわたる脆弱性を悪用しています。さらに、Docker、PostgreSQL、Redisの誤設定を利用して初期アクセスを得た後、セキュリティサービスを無効にし、ホスト上に既にインストールされている競合するマイナーを削除することで、エンドポイントをボットネットに組み込んでいます。
このグループの攻撃インフラは、脆弱性をスキャンして悪用する初期サーバー、ペイロードとスクリプトをステージングするダウンロードサーバー、そして侵害されたサーバーと連絡を保つコマンドアンドコントロール(C2)サーバーの3つの主要なカテゴリに分かれています。特に、C2サーバーのIPアドレスはロシアに、スクリプトとバイナリをダウンロードするために使用されるIPアドレスは、ルクセンブルク、ロシア、オランダ、ウクライナなどの国々に割り当てられています。
KinsingはLinuxサーバーを悪用するためにシェルとBashスクリプトを頻繁に使用し、Windowsサーバー上のOpenfireをターゲットにする際にはPowerShellスクリプトを使用します。このグループは、91%のターゲットアプリケーションがオープンソースであり、主にランタイムアプリケーション(67%)、データベース(9%)、クラウドインフラ(8%)を狙っています。
攻撃後のスクリプト、補助スクリプト、およびバイナリーは、初期アクセス後の攻撃コンポーネントのダウンロード、競合の排除、防御回避、およびMoneroをマイニングするためのコアKinsingマルウェアとクリプトマイナーを含む第二段階のペイロードとして機能します。マルウェアはマイニングプロセスを監視し、プロセス識別子(PID)をC2サーバーと共有し、接続チェックを実行し、実行結果を送信するなどの機能を持っています。
KinsingがLinuxとWindowsシステムをターゲットにし、Webアプリケーションの脆弱性やDocker APIおよびKubernetesの誤設定などを悪用してクリプトマイナーを実行することは、企業や個人が直面するセキュリティリスクの高まりを示しています。このような脅威に対抗するためには、デプロイ前のワークロードの強化、セキュリティパッチの迅速な適用、システムの定期的な監視と評価が重要です。また、不正なマイニング活動を検出し、防ぐためのセキュリティ対策の強化も必要です。Kinsingのようなグループの活動は、サイバーセキュリティの継続的な進化と、それに対応するための防御策の重要性を浮き彫りにしています。
from Kinsing Hacker Group Exploits More Flaws to Expand Botnet for Cryptojacking.
