Kinsing Hacker Group maakt gebruik van meer tekortkomingen om het botnet voor cryptojacking uit te breiden

De cryptojackinggroep bekend als Verwantschap heeft aangetoond dat het in staat is voortdurend te evolueren en zich aan te passen, wat een aanhoudende bedreiging blijkt te zijn door snel nieuw onthulde kwetsbaarheden te integreren om het arsenaal te exploiteren en zijn botnet uit te breiden.

De bevindingen zijn afkomstig van cloudbeveiligingsbedrijf Aqua, dat de dreigingsactor beschreef als een actieve orkestrator van illegale cryptocurrency mining-campagnes sinds 2019.

Kinsing (ook bekend als H2Miner), een naam die wordt gegeven aan zowel de malware als de tegenstander erachter, heeft zijn toolkit consequent uitgebreid met nieuwe exploits om geïnfecteerde systemen in te schrijven in een cryptomining-botnet. Het werd voor het eerst gedocumenteerd door TrustedSec in januari 2020.

De afgelopen jaren hebben campagnes met de op Golang gebaseerde malware verschillende tekortkomingen in Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server en SaltStack bewapend om kwetsbare systemen te doorbreken.

Andere methoden omvatten ook het misbruiken van verkeerd geconfigureerde Docker-, PostgreSQL- en Redis-instanties om initiële toegang te verkrijgen, waarna de eindpunten worden samengevoegd in een botnet voor crypto-mining, maar niet voordat de beveiligingsdiensten zijn uitgeschakeld en rivaliserende mijnwerkers zijn verwijderd die al op de hosts zijn geïnstalleerd.

Daaropvolgende analyse door CyberArk in 2021 bracht overeenkomsten aan het licht tussen Kinsing en een andere malware genaamd NSPPS, en concludeerde dat beide stammen “dezelfde familie vertegenwoordigen”.

De aanvalsinfrastructuur van Kinsing valt uiteen in drie hoofdcategorieën: initiële servers die worden gebruikt voor het scannen en exploiteren van kwetsbaarheden, downloadservers die verantwoordelijk zijn voor het ensceneren van payloads en scripts, en command-and-control (C2)-servers die contact onderhouden met gecompromitteerde servers.

De IP-adressen die worden gebruikt voor C2-servers verwijzen naar Rusland, terwijl de IP-adressen die worden gebruikt om de scripts en binaire bestanden te downloaden zich uitstrekken over landen als Luxemburg, Rusland, Nederland en Oekraïne.

“Kinsing richt zich op verschillende besturingssystemen met verschillende tools”, zei Aqua. “Kinsing gebruikt bijvoorbeeld vaak shell- en Bash-scripts om Linux-servers te exploiteren.”

“We hebben ook gezien dat Kinsing zich richt op Openfire op Windows-servers met behulp van een PowerShell-script. Wanneer het op Unix draait, probeert het meestal een binair bestand te downloaden dat op x86 of ARM draait.”

Een ander opmerkelijk aspect van de campagnes van de bedreigingsactoren is dat 91% van de beoogde applicaties open-source zijn, waarbij de groep zich voornamelijk richt op runtime-applicaties (67%), databases (9%) en cloudinfrastructuur (8).

Een uitgebreide analyse van de artefacten heeft verder drie verschillende categorieën programma's aan het licht gebracht:

  • Type I- en Type II-scriptsdie worden ingezet na de eerste toegang en worden gebruikt om aanvalscomponenten in de volgende fase te downloaden, concurrentie uit te schakelen en verdedigingen te omzeilen door de firewall uit te schakelen, beveiligingstools zoals SELinux, AppArmor en Aliyun Aegis te beëindigen en een rootkit in te zetten om de kwaadaardige processen te verbergen
  • Hulpscriptsdie zijn ontworpen om initiële toegang te bewerkstelligen door misbruik te maken van een kwetsbaarheid, specifieke beveiligingscomponenten uit te schakelen die zijn gekoppeld aan Alibaba Cloud- en Tencent Cloud-services vanaf een Linux-systeem, een omgekeerde shell te openen voor een server onder controle van de aanvaller, en het ophalen van mijnwerkersladingen te vergemakkelijken
  • Binaire bestandendie fungeren als een tweede fase-payload, inclusief de belangrijkste Kinsing-malware en de crypto-miner voor miner Monero

De malware is op zijn beurt ontworpen om het mijnbouwproces in de gaten te houden en de procesidentificatie (PID) te delen met de C2-server, connectiviteitscontroles uit te voeren en uitvoeringsresultaten te verzenden.

“Kinsing richt zich op Linux- en Windows-systemen, vaak door kwetsbaarheden in webapplicaties of verkeerde configuraties zoals Docker API en Kubernetes te misbruiken om cryptominers uit te voeren”, aldus Aqua. “Om potentiële bedreigingen zoals Kinsing te voorkomen, zijn proactieve maatregelen zoals het versterken van de werklast vóór de implementatie cruciaal.”

De onthulling komt omdat families van botnet-malware steeds vaker manieren vinden om hun bereik te vergroten en machines in een netwerk te rekruteren voor het uitvoeren van kwaadaardige activiteiten.

Dit wordt het beste geïllustreerd door P2PInfect, een Rust-malware waarvan is vastgesteld dat hij slecht beveiligde Redis-servers misbruikt om varianten te leveren die zijn gecompileerd voor MIPS- en ARM-architecturen.

“De belangrijkste payload kan verschillende bewerkingen uitvoeren, waaronder het propageren en leveren van andere modules met bestandsnamen die voor zichzelf spreken, zoals miner en winminer”, zei Nozomi Networks, dat eerder dit jaar samples ontdekte die gericht waren op ARM.

“Zoals de naam al doet vermoeden, is de malware in staat Peer-to-Peer (P2P)-communicatie uit te voeren zonder afhankelijk te zijn van een enkele Command and Control-server (C&C) om de commando's van aanvallers door te geven.”

Thijs Van der Does