ИБ-компания Trend Micro обнаружила , что группировка Kinsing использует уязвимость в Корпорация Oracle – американская корпорация, которая специализируется на разработке и продаже серверного оборудования и программного обеспечения – в частности систем управления базами данных. Oracle Database – это продукт, который компания выпускает с момента своего основания и он является наиболее известным продуктом компании.
Oracle была основана в 1977 году. Центральный офис находится в штате Калифорния, США.
По объемам продаж, среди разработчиков программного обеспечения, компания Oracle занимает второе место после корпорации Microsoft. Oracle удалось увеличить свою долю рынка за счет внутреннего развития, а также благодаря ряду удачных поглощений других компаний.
» data-html=»true» data-original-title=»Oracle»>Oracle WebLogic Server, чтобы отключить функции безопасности Linux — это Unix-подобная операционная система (ОС) с открытым исходным кодом, разработанная сообществом для компьютеров, серверов, мейнфреймов, мобильных устройств и встроенных устройств. Linux поддерживается почти на всех основных компьютерных платформах, включая x86, ARM и SPARC , что делает его одной из наиболее широко поддерживаемых операционных систем.
» data-html=»true» data-original-title=»Linux»>Linux, таких как Security-Enhanced Linux (SELinux) и другие службы.
Хакеры используют RCE — уязвимость CVE-2020-14882 (оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.
Схема атаки Kinsing
Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:
- удаление системного журнала «/var/log/syslog»;
- отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
- уничтожение существующих процессов майнинга и запуск собственного криптомайнера.
Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».
По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.
Ранее в 2022 году Kinsing использовали уязвимость в Confluence Server и Confluence Data Center для обхода аутентификации и полной компрометации системы .