19/09/22
ИБ-компания Trend Micro обнаружила , что группировка Kinsing использует уязвимость в Oracle WebLogic Server, чтобы отключить функции безопасности Linux, таких как Security-Enhanced Linux (SELinux) и другие службы. Это передает Securitylab.
Хакеры используют RCE - уязвимость CVE-2020-14882 (оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.
.png?width=673&name=content-img(456).png)
Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:
- удаление системного журнала «/var/log/syslog»;
- отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
- уничтожение существующих процессов майнинга и запуск собственного криптомайнера.
Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».
По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.
Ранее в 2022 году Kinsing использовали уязвимость в Confluence Server и Confluence Data Center для обхода аутентификации и полной компрометации системы.
