雲端平台的可擴展性和靈活性推動了雲端加密貨幣挖礦工及新興趨勢,與難以擴展資源的本地基礎設施不同,雲端環境使攻擊者能夠快速部屬資源進行加密挖掘,從而使利用便得更加容易,雲端加密挖礦最常見的威脅之一是「Kinsing 惡意軟體」,網路安全研究人員最近發現 Kinsing 惡意軟體一直在積極攻擊存在漏洞的Apache Tomcat 伺服器。
Kinsing 是一種惡意軟體,會利用Apache Active MQ中的重大漏洞 (CVE-2023-46604) 來攻擊 Apache Tomcat 伺服器。此漏洞的CVSS評分為10分,代表其風險等級為最高,攻擊者可以透過此漏洞遠端執行程式碼,並在受害的 Tomcat 伺服器上 安裝Kinsing惡意軟體,在安裝後,會透過在 /etc/ld.so.preload中載入 rootkit 來提升其持久性和隱匿性,並進一步侵入主體系統,並透過以下方式感染Apache Tomca伺服器:
1. 攻擊者會利用 CVE-2023-46604 漏洞在遠端執行程式碼,以受感染的系統上安裝
2. 會偽裝成合法的軟體或檔案,以誘騙使用者下載並安裝
3, 可能會透過垃圾郵件或網路釣魚攻擊等社交工程手法傳播
大多數Kinsing背後的駭客會使用受損的系統來安裝後門或加密貨幣挖礦程式,一旦感染系統就會使用系統資源進行加密貨幣挖礦,導致成本增加並降低伺服器效能,利用容器和伺服器的缺陷來安裝惡意後門,在此種情況下,一個環境中許多伺服器同時被感染,其中包括一台存在嚴重漏洞的Apache Tomcat 伺服器,它是一個向公眾發布靜態內容的開源伺服器,為了保持隱藏,Kinsing惡意軟體使用了不常見的技巧,以檔案形式出現在任何系統上,將會存在於以下4個區域:
/var/cache/man/cs/cat1/ - 使用者指令手冊頁面通常位於其中
/var/cache/man/cs/cat3/ - 庫函數手冊頁通常位於此處
/var/lib/gssproxy/rcache/
/var/cache/man/zh_TW/cat8/
為了避免自己的 Apache Web 伺服器遭到駭客入侵,企業應儘速完成最新修補程式的更新,以便將潛藏的 Apache ActiveMQ 重大漏洞修補起來。
參考資料:
https://gbhackers.com/kinsing-malware-attacks-apache-tomcat-vulnerabilities/amp/