長久以來,Linux 惡意軟體 Kinsing 一直背負著喜歡針對配置錯誤之容器化環境進行加密貨幣挖礦勾當,抑或利用入侵伺服器資源來牟取非法利潤的黑歷史。如今 Kinsing 惡意軟體攻擊者又開始蠢蠢欲動,他們正積極入侵 Apache ActiveMQ 伺服器中某個駭客眼中的熱門重大安全漏泂,以便用加密貨幣挖礦程式和惡意 rootkit 感染 Linux 系統。
Kinsing 危害已久,其背後攻擊者的常見攻擊手法,莫過於在感染目標系統後,會部署一個加密貨幣挖礦腳本,以利用主機資源來進行比特幣等加密貨幣的挖礦作業,進而嚴重破壞 IT 基礎設施,並對系統效能造成負面影響。
Kinsing 駭客組織向以迅速調整的彈性戰術聞名於駭客界,包括轉而利用新揭露的 Web 應用程式漏洞來入侵目標網路,並植入加密貨幣挖礦程式。本月初,安全公司 Aqua 便揭發了 Kinsing 惡意攻擊者意圖利用名為 Looney Tunables 的 Linux 權限提升漏洞來滲透雲端環境。
近日最新發現的 Kinsing 攻擊活動涉及利用 Apache ActiveMQ 中的重大安全漏洞(CVE-2023-46604),其 CVSS 評分達到最高風險等級的 10 分,透過該漏洞可以遠端執行程式碼,並允許惡意攻擊者下載並安裝 Kinsing 惡意軟體。接著從惡意攻擊者控制的網域中檢索額外的封包負載,同時採取措施將感染系統上其他爭相挖礦的程式加以終止。透過在 /etc/ld.so.preload 中載入 rootkit,Kinsing 得以加倍其在受害系統中的持久性與刼持強度,進而完成整個系統的入侵。
為了避免自己的 Apache Web 伺服器遭到駭客入侵,企業應儘速完成最新修補程式的更新,以便將潛藏的 Apache ActiveMQ 重大漏洞修補起來。
(首圖來源:科技新報)