Группа криптоджекинга Kinsing продолжает эволюционировать, представляя постоянную угрозу в цифровом пространстве. Компания AquaSec сообщает,что Kinsing с 2019 года постоянно организует незаконные кампании по добыче криптовалют, оперативно интегрируя новые уязвимости для расширения своего ботнета.
Kinsing, также известный как H2Miner, это название как для вредоносного ПО, так и для группы, стоящей за ним. С момента первого документирования в январе 2020 года Kinsing непрерывно расширяет свои инструменты новыми эксплойтами, чтобы включить заражённые системы в криптомайнинговый ботнет.
Кампании с использованием вредоносного ПО на базе Golang эксплуатировали уязвимости в системах, таких как Apache Log4j, Atlassian Confluence, Citrix, Linux и Oracle WebLogic Server. Также использовались ошибки конфигурации Docker, PostgreSQL и Redis для первоначального доступа.
В 2021 году анализ компании CyberArk выявил сходства между Kinsing и другим вредоносным ПО NSPPS, сделав вывод, что оба представляют одно и то же семейство.
Инфраструктура атак Kinsing делится на три категории: начальные серверы для сканирования и эксплуатации уязвимостей, серверы для загрузки полезных данных и C2-серверы, поддерживающие связь с заражёнными хостами.
“Kinsing нацеливается на различные операционные системы”, сообщает Aqua. “Например, Kinsing часто использует shell и Bash скрипты для эксплуатации Linux-серверов, а на Windows серверах через PowerShell атакует Openfire”.
Группа также активно нацеливается на Open Source приложения, которые составляют 91% от всех атакованных программ. Основные цели – runtime-приложения (67%), базы данных (9%) и облачная инфраструктура (8%).
Анализ выявленных экземпляров вредоносов показал три категории программ, используемых группой в своих кампаниях:
- Скрипты типа I и II, загружающие следующие компоненты атаки, устраняющие конкурентов, обходящие защиту и отключающие брандмауэры и защитные инструменты.
- Вспомогательные скрипты, предназначенные для первоначального доступа, отключения специфических компонентов безопасности Alibaba Cloud и Tencent Cloud, открытия обратной оболочки и загрузки полезных нагрузок майнера.
- Бинарные файлы, являющиеся вторичными полезными данными, включая ядро Kinsing и крипто-майнер для Monero.
Вредоносное ПО контролирует процесс майнинга, делится идентификатором процесса (PID) с C2-сервером, выполняет проверки подключения и отправляет результаты выполнения.
“Kinsing нацеливается на системы Linux и Windows, часто эксплуатируя уязвимости в веб-приложениях или неправильные конфигурации, такие как Docker API и Kubernetes”, отмечает Aqua. “Для предотвращения угроз, подобных Kinsing, важны проактивные меры, такие как укрепление рабочих нагрузок до развёртывания”.
Данные из отчёта AquaSec показывают, что ботнеты постоянно находят новые способы расширения и вовлечения машин во всемирной сети для проведения вредоносной деятельности.
Для защиты от угроз, подобных Kinsing, необходимо применять проактивные меры безопасности, включая своевременное устранение уязвимостей, надлежащую конфигурацию систем и решений для предотвращения использования вредоносным ПО незакрытых векторов атаки.