Старая уязвимость отдает компьютер в руки злоумышленников

Старая уязвимость отдает компьютер в руки злоумышленников

Уязвимость позволяет получить полный контроль над компьютером и превратить его в майнинг-ферму.

image

ИБ-компания Trend Micro обнаружила , что группировка Kinsing использует уязвимость в Oracle WebLogic Server, чтобы отключить функции безопасности Linux, таких как Security-Enhanced Linux (SELinux) и другие службы.

Хакеры используют RCE - уязвимость CVE-2020-14882 (оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.


Схема атаки Kinsing

Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:

  • удаление системного журнала «/var/log/syslog»;
  • отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
  • уничтожение существующих процессов майнинга и запуск собственного криптомайнера.

Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».

По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.

Ранее в 2022 году Kinsing использовали уязвимость в Confluence Server и Confluence Data Center для обхода аутентификации и полной компрометации системы .


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!