Hacker Kinsing Manfaatkan Kerentanan Apache ActiveMQ untuk Sebarkan Rootkit Linux
Cyberthreat.id - Pelaku ancaman Kinsing secara aktif mengeksploitasi kelemahan keamanan kritis di server Apache ActiveMQ yang rentan untuk menginfeksi sistem Linux dengan penambang mata uang kripto dan rootkit.
“Setelah Kinsing menginfeksi suatu sistem, Kinsing menyebarkan skrip penambangan mata uang kripto yang mengeksploitasi sumber daya host untuk menambang mata uang kripto seperti Bitcoin, yang mengakibatkan kerusakan signifikan pada infrastruktur dan dampak negatif pada kinerja sistem,” kata peneliti keamanan Trend Micro, Peter Girnus, kepada The Hacker News.
Kinsing mengacu pada malware Linux dengan riwayat menargetkan lingkungan terkontainer yang salah dikonfigurasi untuk penambangan mata uang kripto, sering kali memanfaatkan sumber daya server yang disusupi untuk menghasilkan keuntungan terlarang bagi pelaku ancaman.
Kelompok ini juga dikenal dengan cepat menyesuaikan taktiknya untuk memasukkan kelemahan yang baru terungkap dalam aplikasi web untuk menembus jaringan target dan mengirimkan penambang kripto.
Awal bulan ini, Aqua mengungkapkan upaya pelaku ancaman untuk mengeksploitasi kelemahan eskalasi hak istimewa Linux yang disebut Looney Tunables untuk menyusup ke lingkungan cloud.
Kampanye terbaru melibatkan penyalahgunaan CVE-2023-46604 (skor CVSS: 10.0), kerentanan kritis yang dieksploitasi secara aktif di Apache ActiveMQ yang memungkinkan eksekusi kode jarak jauh, memungkinkan musuh mengunduh dan menginstal malware Kinsing.
Hal ini diikuti dengan mengambil muatan tambahan dari domain yang dikontrol aktor sekaligus mengambil langkah untuk menghentikan penambang mata uang kripto pesaing yang sudah berjalan pada sistem yang terinfeksi.
“Kinsing menggandakan persistensi dan komprominya dengan memuat rootkitnya di /etc/ld.so.preload, yang menyelesaikan kompromi sistem secara penuh,” kata Girnus.
Mengingat eksploitasi terus-menerus terhadap kelemahan ini, organisasi yang menjalankan versi Apache ActiveMQ yang terkena dampak disarankan untuk memperbarui ke versi yang telah dipatch sesegera mungkin untuk mengurangi potensi ancaman.
Pengungkapan ini terjadi ketika Pusat Tanggap Darurat Keamanan AhnLab (ASEC) memperingatkan serangan dunia maya yang menargetkan server web Apache yang rentan untuk kampanye cryptojacking yang memanfaatkan Cobalt Strike atau Gh0st RAT untuk mengirimkan penambang mata uang kripto.[]