Les hackers Kinsing exploitent la vulnérabilité d'Apache ActiveMQ pour déployer des rootkits Linux

By AfricaCyberMag , 21 novembre, 2023

Par AfricaCyberMag , 21 novembre 2023

Les pirates Kinsing exploitent activement une faille de sécurité critique dans les serveurs Apache ActiveMQ vulnérables pour infecter les systèmes Linux avec des mineurs de crypto-monnaie et des rootkits.

"Une fois que Kinsing infecte un système, il déploie un script de minage de crypto-monnaies qui exploite les ressources de l'hôte pour miner des crypto-monnaies comme le bitcoin, ce qui entraîne des dommages importants à l'infrastructure et un impact négatif sur les performances du système", a déclaré Peter Girnus, chercheur en sécurité chez Trend Micro.

Kinsing fait référence à un logiciel malveillant Linux qui a l'habitude de cibler des environnements conteneurisés mal configurés pour le minage de crypto-monnaies, en utilisant souvent des ressources de serveur compromises pour générer des profits illicites pour les acteurs de la menace.

Le groupe est également connu pour adapter rapidement ses tactiques afin d'inclure des failles nouvellement divulguées dans les applications web pour pénétrer dans les réseaux cibles et livrer des mineurs de crypto-monnaie.

La campagne d'exploiattion encours du groupe malveillant comprend l'utilisation abusive de CVE-2023-46604, une vulnérabilité critique activement exploitée dans Apache ActiveMQ qui permet l'exécution de code à distance, permettant à l'adversaire de télécharger et d'installer le logiciel malveillant Kinsing. Il récupère ensuite des charges utiles supplémentaires à partir d'un domaine contrôlé par l'acteur, tout en prenant des mesures pour mettre fin aux mineurs de crypto-monnaie concurrents déjà en cours d'exécution sur le système infecté.

"Kinsing redouble de persistance et de compromission en chargeant son rootkit dans le fichier /etc/ld.so.preload, ce qui achève de compromettre l'ensemble du système", a déclaré M. Girnus.

À la lumière de l'exploitation continue de la faille, il est recommandé aux organisations utilisant les versions affectées d'Apache ActiveMQ de mettre à jour vers une version corrigée dès que possible afin d'atténuer les menaces potentielles.

Source: The Hacker News

EN RELATION

More CYBER ALERTES

CYBER ALERTES

Multiples vulnérabilités dans Mozilla Thunderbird

22/04/2024
CYBER ALERTES

Vulnérabilité de type file upload dans le plugin WordPress WP Poll Maker

22/04/2024
CYBER ALERTES

Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows

15/04/2024

Les hackers Kinsing exploitent la vulnérabilité d'Apache ActiveMQ pour déployer des rootkits Linux

Sécurité et confidentialité des données : l’ASIN et l’APDP définissent une nouvelle collaboration au Bénin

Au Maroc, Baker Tilly s'allie à Disrupt pour renforcer son expertise en transformation digitale et cybersécurité

ESET distingué « meilleur acteur » et meilleur éditeur d'origine européenne par Radicati

Multiples vulnérabilités dans Mozilla Thunderbird

Vulnérabilité de type file upload dans le plugin WordPress WP Poll Maker

Vulnérabilité de type injection de commandes dans l’API COMMAND de Rust sous Windows

Actualités Cyber en Afrique