Böswillige Akteure wie Kinsing nutzen sowohl kürzlich bekannt gewordene als auch ältere Sicherheitslücken in Oracle WebLogic Server aus, um Kryptowährungs-Malware zu verbreiten.
Das Cybersecurity-Unternehmen Trend Micro hat herausgefunden, dass die finanziell motivierte Gruppe die Schwachstelle ausnutzt, um Python-Skripte abzusetzen, mit denen sich Sicherheitsfunktionen des Betriebssystems (OS) wie SELinux (Security-Enhanced Linux) und andere deaktivieren lassen.
Die Betreiber hinter der Kinsing-Malware haben bereits in der Vergangenheit nach anfälligen Servern gesucht, um sie in ein Botnetz einzubinden. Dazu gehören Redis, SaltStack, Log4Shell, Spring4Shell und die Atlassian Confluence-Schwachstelle (CVE-2022-26134).
Die Kinsing-Akteure waren auch an Kampagnen gegen Container-Umgebungen beteiligt, bei denen sie über falsch konfigurierte offene Docker Daemon API-Ports einen Krypto-Miner starteten und die Malware anschließend auf andere Container und Hosts verbreiteten.
Bei der jüngsten Angriffswelle nutzen die Akteure die zwei Jahre alte Sicherheitslücke CVE-2020-14882 (CVSS-Score: 9.8) zur Remotecodeausführung (RCE) gegen ungepatchte Server, um die Kontrolle über den Server zu übernehmen und bösartige Schaddaten abzusetzen.
Es ist erwähnenswert, dass diese Schwachstelle in der Vergangenheit von mehreren Botnetzen ausgenutzt wurde, um Monero-Miner und die Tsunami-Backdoor auf infizierten Linux-Systemen zu verbreiten.
Die Schwachstelle wurde erfolgreich ausgenutzt, indem ein Shell-Skript installiert wurde, das für eine Reihe von Aktionen verantwortlich ist: Entfernen des Systemprotokolls /var/log/syslog, Abschalten von Sicherheitsfunktionen und Cloud-Service-Agenten von Alibaba und Tencent sowie Beenden konkurrierender Miner-Prozesse.
Das Shell-Skript lädt dann die Kinsing-Malware von einem entfernten Server herunter und sorgt mit Hilfe eines Cron-Jobs für die Persistenz.
„Die erfolgreiche Ausnutzung dieser Schwachstelle kann zu einem RCE führen, der es Angreifern ermöglicht, eine Vielzahl bösartiger Aktivitäten auf den betroffenen Systemen durchzuführen“, so Trend Micro. „Das kann von der Ausführung von Schadsoftware […] über den Diebstahl wichtiger Daten bis hin zur vollständigen Kontrolle über einen angegriffenen Rechner reichen.“
TeamTNT-Akteure feiern ein Comeback mit dem Känguru-Angriff
Die Entwicklung kommt, nachdem Forscher von Aqua Security drei neue Angriffe identifiziert haben, die mit einer anderen „lebendigen“ Kryptojacking-Gruppe namens TeamTNT in Verbindung gebracht werden, die im November 2021 freiwillig ihren Betrieb einstellte.
„TeamTNT hat nach einem falsch konfigurierten Docker-Daemon gesucht und Alpine, ein Vanilla-Container-Image, mit einer Befehlszeile zum Herunterladen eines Shell-Skripts (k.sh) auf einen C2-Server eingesetzt“, sagte Aqua Security-Forscher Assaf Morag.
Das Besondere an der Angriffskette ist, dass sie offenbar darauf abzielt, die SECP256K1-Verschlüsselung zu knacken, was es dem Angreifer ermöglichen würde, die Schlüssel zu jeder Kryptowährungs-Wallet zu berechnen. Anders ausgedrückt: Die Idee ist, die hohe, aber illegale Rechenleistung der Zielpersonen zu nutzen, um den ECDLP-Löser auszuführen und den Schlüssel zu erhalten.
Bei zwei weiteren Angriffen der Gruppe werden offene Redis-Server und falsch konfigurierte Docker-APIs ausgenutzt, um Coin-Miner und Tsunami-Binärdateien zu installieren.
Die Angriffe von TeamTNT auf Docker-REST-APIs wurden im letzten Jahr ausführlich dokumentiert. Durch eine Sicherheitslücke, die Trend Micro aufgedeckt hat, wurden die Anmeldedaten von zwei der von den Angreifern kontrollierten DockerHub-Konten aufgedeckt.
Die Konten – alpineos und sandeep078 – sollen dazu benutzt worden sein, eine Vielzahl bösartiger Nutzdaten wie Rootkits, Kubernetes-Exploit-Kits, Credential Stealers, XMRig Monero Miner und sogar die Kinsing-Malware zu verbreiten.
„Der Account alpineos wurde von Mitte September bis Anfang Oktober 2021 dreimal für Exploit-Versuche in unseren Honeypots verwendet, und wir konnten die IP-Adressen der Einsätze bis zu ihrem Standort in Deutschland zurückverfolgen“, so Nitesh Surana von Trend Micro.
„Die Bedrohungsakteure waren in ihre Konten auf der DockerHub-Registry eingeloggt und haben wahrscheinlich vergessen, sich abzumelden“. Oder sie haben sich mit den Anmeldedaten von alpineos in ihr DockerHub-Konto eingeloggt“.
Trend Micro teilte mit, dass das bösartige alpineos-Image mehr als 150.000 Mal heruntergeladen wurde und informierte Docker über diese Konten.
Trend Micro empfiehlt Unternehmen außerdem, die exponierte REST-API mit TLS zu konfigurieren, um AiTM-Angriffe (Adversary-in-the-Middle) abzuschwächen, sowie Anmeldedaten-Speicher und -Helfer zu verwenden, um Benutzeranmeldeinformationen zu hosten.