Старая уязвимость отдает компьютер в руки злоумышленников

ИБ-компания Trend Micro обнаружила , что группировка Kinsing использует уязвимость в Oracle WebLogic Server, чтобы отключить функции безопасности Linux, таких как Security-Enhanced Linux (SELinux) и другие службы.

Хакеры используют RCE - уязвимость CVE-2020-14882 (оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.

Схема атаки Kinsing

Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:

• удаление системного журнала «/var/log/syslog»;
• отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
• уничтожение существующих процессов майнинга и запуск собственного криптомайнера.

Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».

По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.

Ранее в 2022 году Kinsing использовали уязвимость в Confluence Server и Confluence Data Center для обхода аутентификации и полной компрометации системы .