Il malware Kinsing diffonde rootkit tramite Apache ActiveMQ RCE

Un rapporto di TrendMicro ha svelato come un malware noto come Kinsing, stia sfruttando una vulnerabilità critica nel broker di messaggistica Apache ActiveMQ.

Il client open source di quest’ultimo, infatti, ha presentato un exploit catalogato come CVE-2023-46604 e sfruttato attivamente da alcuni cybercriminali per prendere il controllo di sistemi Linux.

La vulnerabilità è stata corretta a fine ottobre ma, sfruttando l’assenza di patch su molto sistemi, gli operatori dietro Kinsing hanno comunque a disposizione migliaia di server ancora non protetti dall’aggiornamento. La falla, di fatto, permette agli aggressori di eseguire comandi shell arbitrari in totale libertà.

Secondo i dati raccolti dagli esperti, il principale obiettivo di questo agente malevolo rientra nel contesto di una massiccia operazione cryptojacking.

Apache ActiveMQ RCE e Kinsing: come proteggere evitare disastri

Il malware in questione utilizza il metodo ProcessBuilder per eseguire script bash dannosi e scaricare payload aggiuntivi sul dispositivo infetto. Il vantaggio di questa tecnica è che consente a Kinsing  di eseguire comandi e script complessi, con un elevato grado di controllo e flessibilità, evitando allo stesso tempo di essere individuano da eventuali strumenti di analisi.

Prima di lanciare lo strumento di mining, però, il malware effettua una scansione sul dispositivo infettato per verificare l’eventuale presenza di “concorrenza” già attiva. Se sono presenti ed attivi dei miner, infatti, Kinsing ne chiude tutti i processi per poter usufruire di tutte le risorse hardware disponibili.

Il passo successivo, prevede l’ancoraggio al sistema compromesso, al fine di garantire la persistenza dei propri processi. Per fare ciò, recupera l’ultima versione del suo script di infezione  e aggiunge anche un rootkit in “/etc/ld.so.preload“.

Questo modus operandi di Kinsing non è più di tanto sorprendente: il malware in quesitone, infatti, è noto per essere utilizzato per attaccare server trascurati e privi di aggiornamenti.

Proprio per questo motivo, agli amministratori di sistema, è consigliato di aggiornare il prima possibile alle versioni 5.15.16, 5.16.7, 5.17.6 o 5.18.3 di Apache Active MQ. Ciò è sufficiente per evitare, almeno per il momento, qualunque tipo di contatto con il malware.