O grupo de criptojacking conhecido como Parentesco demonstrou a sua capacidade de evoluir e adaptar-se continuamente, revelando-se uma ameaça persistente ao integrar rapidamente vulnerabilidades recentemente divulgadas para explorar o seu arsenal e expandir a sua botnet.
As descobertas vêm da empresa de segurança em nuvem Aqua, que descreveu o ator da ameaça como orquestrando ativamente campanhas ilícitas de mineração de criptomoedas desde 2019.
Kinsing (também conhecido como H2Miner), nome dado ao malware e ao adversário por trás dele, expandiu consistentemente seu package de ferramentas com novas explorações para registrar sistemas infectados em uma botnet de mineração de criptografia. Foi documentado pela primeira vez pela TrustedSec em janeiro de 2020.
Nos últimos anos, campanhas envolvendo malware baseado em Golang transformaram várias falhas em Apache ActiveMQ, Apache Log4j, Apache NiFi, Atlassian Confluence, Citrix, Liferay Portal, Linux, Openfire, Oracle WebLogic Server e SaltStack para violar sistemas vulneráveis.
Outros métodos também envolveram a exploração de instâncias Docker, PostgreSQL e Redis mal configuradas para obter acesso inicial, após o qual os endpoints são empacotados em uma botnet para mineração de criptografia, mas não antes de desativar os serviços de segurança e remover mineradores rivais já instalados nos hosts.
A análise subsequente da CyberArk em 2021 revelou pontos em comum entre o Kinsing e outro malware chamado NSPPS, concluindo que ambas as cepas “representam a mesma família”.
A infraestrutura de ataque do Kinsing se enquadra em três categorias principais: servidores iniciais usados para varredura e exploração de vulnerabilidades, servidores de obtain responsáveis por preparar cargas e scripts e servidores de comando e controle (C2) que mantêm contato com servidores comprometidos.
Os endereços IP usados para servidores C2 são direcionados para a Rússia, enquanto aqueles usados para baixar scripts e binários abrangem países como Luxemburgo, Rússia, Holanda e Ucrânia.
“Kinsing tem como alvo vários sistemas operacionais com ferramentas diferentes”, disse Aqua. “Por exemplo, Kinsing costuma usar scripts shell e Bash para explorar servidores Linux.”
“Também vimos que Kinsing tem como alvo o Openfire em servidores Home windows usando um script PowerShell. Ao executar em Unix, geralmente procura baixar um binário que roda em x86 ou ARM.”
Outro aspecto notável das campanhas dos agentes da ameaça é que 91% dos aplicativos visados são de código aberto, com o grupo destacando principalmente aplicativos em tempo de execução (67%), bancos de dados (9%) e infraestrutura em nuvem (8).
 |
| Crédito: Forescout |
Uma extensa análise dos artefatos revelou ainda três categorias distintas de programas –
- Scripts Tipo I e Tipo IIque são implantados após o acesso inicial e usados para baixar componentes de ataque de próximo estágio, eliminar a concorrência e evitar defesas desabilitando o firewall, encerrando ferramentas de segurança como SELinux, AppArmor e Aliyun Aegis e implantando um rootkit para ocultar os processos maliciosos
- Scripts auxiliaresque são projetados para realizar o acesso inicial explorando uma vulnerabilidade, desabilitar componentes de segurança específicos associados aos serviços Alibaba Cloud e Tencent Cloud de um sistema Linux, abrir um shell reverso para um servidor sob o controle do invasor e facilitar a recuperação de cargas de mineradores
- Bináriosque atua como uma carga útil de segundo estágio, incluindo o malware central Kinsing e o cripto-minerador para minerador Monero
O malware, por sua vez, é projetado para monitorar o processo de mineração e compartilhar seu identificador de processo (PID) com o servidor C2, realizar verificações de conectividade e enviar resultados de execução, entre outros.
“O Kinsing tem como alvo sistemas Linux e Home windows, muitas vezes explorando vulnerabilidades em aplicativos da net ou configurações incorretas, como API Docker e Kubernetes para executar criptomineradores”, disse Aqua. “Para evitar ameaças potenciais como o Kinsing, medidas proativas, como o reforço das cargas de trabalho antes da implantação, são cruciais.”
A divulgação ocorre no momento em que famílias de malware de botnets encontram cada vez mais maneiras de ampliar seu alcance e recrutar máquinas para uma rede para realizar atividades maliciosas.
Isso é melhor exemplificado pelo P2PInfect, um malware Rust que explora servidores Redis mal protegidos para fornecer variantes compiladas para arquiteturas MIPS e ARM.
“A carga útil principal é capaz de realizar várias operações, incluindo propagar e entregar outros módulos com nomes de arquivos que falam por si, como minerador e winminer”, disse a Nozomi Networks, que descobriu amostras direcionadas ao ARM no início deste ano.
“Como o próprio nome sugere, o malware é capaz de realizar comunicações ponto a ponto (P2P) sem depender de um único servidor de comando e controle (C&C) para propagar os comandos dos invasores.”
