สำนักงานพัฒนารัฐบาลดิจิทัล (องค์การมหาชน) สพร. ... / บริการและโครงการ / ศูนย์ประสานการรักษาความมั่นคงปลอดภัยระบบคอมพิวเ... / ข่าวสารด้านความมั่นคงปลอดภัยทางไซเบอร์ / มัลแวร์ Kinsing ใช้ประโยชน์จากช่องโหว่ Apache A...

มัลแวร์ Kinsing ใช้ประโยชน์จากช่องโหว่ Apache ActiveMQ RCE ในการฝัง rootkits

1 December 2566

มัลแวร์ Kinsing ได้ดำเนินการใช้ประโยชน์จากช่องโหว่ CVE-2023-46604 (มีระดับความรุนแรง Critical) ใน Apache ActiveMQ เป็นโปรแกรม open-source message broker เพื่อโจมตี Linux Systems. มีการใช้ remote code execution และได้รับการแก้ไขในปลายเดือนตุลาคม การเปิดเผยของApacheอธิบายว่าปัญหานี้ทำให้สามารถ รัน shell commands และใช้ประโยชน์จาก serialization class types ในโปรโตคอล Open Wire นักวิจัยพบว่า มี server นับพันที่ แฮ็กเกอร์ยังสามารถเข้าถึงได้หลังจากการปล่อย patch ออกมาแก้ไข และมี แก๊ง ransomware เช่น HelloKitty และ Tell You The Pass ใช้โอกาสนี้ในการหาประโยชน์ รายงานจาก Trend Micro ตั้งข้อสังเกตว่า Kinsing เพิ่มรายชื่อผู้คุกคามที่ใช้ประโยชน์จาก CVE-2023-46604 โดยเป้าหมายของพวกเขาคืเรื่มใช้การขุด Cryptocurrency บนเซิร์ฟเวอร์ที่มีช่องโหว่ มัลแวร์ Kinsing มุ่งเป้าไปที่ระบบ Linux และผู้ดำเนินการมีชื่อเสียงในการใช้ประโยชน์จากข้อบกพร่องที่ผู้ดูแลระบบมักมองข้าม ก่อนหน้านี้พวกเขาอาศัย Log4Shell และจุดบกพร่อง Atlassian Confluence RCE สำหรับการโจมตี

นักวิจัยกล่าวว่า “ปัจจุบันมีช่องโหว่สาธารณะบางส่วนที่ใช้วิธีการ Process Builder เพื่อดำเนินการ execute commands บนระบบที่ได้รับผลกระทบ” ในส่วนนี้ Kinsing, CVE-2023-46604 ได้ใช้ประโยชน์ จากการดาวห์โหลดเพื่อใช้งานตัวขุดเหมือง Kinsing cryptocurrency miners และ มัลแวร์ บนช่องโหว่ระบบ มัลแวร์นี้ใช้วิธี “Process Builder” เพื่อดำเนินการรัน script ที่เป็นอันตรายและดาวน์โหลด payloads เพิ่มเติมบนอุปกรณ์ที่ติดไวรัส ข้อดีของวิธีนี้คือทำให้มัลแวร์ดำเนินการรัน commandและ script ที่ซับซ้อนด้วยการควบคุมและความยืดหยุ่นในระดับสูง ในขณะเดียวกันก็หลบเลี่ยงการตรวจจับได้ด้วย ก่อนที่จะใช้เครื่องมือการขุด crypto Kinsing จะตรวจสอบเครื่องเพื่อหาการขุด Monero ที่แข่งขันกันโดยการ kill process ที่เกี่ยวข้องและการเชื่อมต่อเครือข่ายที่ใช้งานอยู่ หลังจากนั้น มันจะสร้างผ่าน cronjob ที่ดึง script เวอร์ชันล่าสุด (bootstrap) และยังเพิ่ม rootkit ใน ‘/etc/ld.so.preload’ โดยทั่วไปไดเร็กทอรี /etc บนระบบ Linux จะโฮสต์ไฟล์การกำหนดค่าระบบ ไฟล์ปฏิบัติการสำหรับการบูตระบบ และไฟล์บันทึกบางไฟล์ ดังนั้นไลบรารีในตำแหน่งนี้จะโหลดก่อนที่กระบวนการของโปรแกรมจะเริ่มต้น ในกรณีนี้ การเพิ่ม rootkit ช่วยให้แน่ใจว่าโค้ดของมันรันกับทุกกระบวนการที่บนระบบ ในขณะที่ยังคงถูกซ่อนไว้และยากที่จะลบออก เนื่องจากจำนวนผู้คุกคามที่ใช้ประโยชน์จาก CVE-2023-46604 เพิ่มขึ้น องค์กรในหลายภาคส่วนยังคงมีความเสี่ยงหากไม่แก้ไขช่องโหว่หรือตรวจสอบสัญญาณของการโจมตี เพื่อบรรเทาภัยคุกคาม ผู้ดูแลระบบขอแนะนำให้อัปเกรด Apache Active MQ เป็นเวอร์ชัน 5.15.16, 5.16.7, 5.17.6 หรือ 5.18.3 ซึ่งแก้ไขปัญหาด้านความปลอดภัย