Die Bedrohungsakteure, die hinter der Kinsing-Kryptojacking-Operation stecken, wurden dabei beobachtet, wie sie falsch konfigurierte und ungeschützte PostgreSQL-Server ausnutzen, um sich Zugang zu Kubernetes-Umgebungen zu verschaffen.
Eine zweite Methode des Erstzugriffs besteht in der Verwendung von verwundbaren Images, so Sunders Bruskin, Sicherheitsforscher bei Microsoft Defender for Cloud, in einem Bericht von letzter Woche.
Kinsing hat eine lange Geschichte von Angriffen auf Container-Umgebungen, wobei er oft falsch konfigurierte offene Docker-Daemon-API-Ports ausnutzt und neu entdeckte Schwachstellen ausnutzt, um Kryptowährungs-Mining-Software einzuschleusen.
In der Vergangenheit wurde auch festgestellt, dass der Angreifer ein Rootkit einsetzt, um seine Anwesenheit zu verbergen, und dass er konkurrierende ressourcenintensive Dienste und Prozesse beendet und deinstalliert.
Nach Angaben von Microsoft wurden Fehlkonfigurationen in PostgreSQL-Servern vom Kinsing-Akteur ausgenutzt, um Fuß zu fassen.
Die Fehlkonfiguration bezieht sich auf eine Einstellung zur Vertrauensauthentifizierung, die missbraucht werden kann, um sich ohne Authentifizierung mit den Servern zu verbinden und Code auszuführen, wenn die Option so eingestellt ist, dass Verbindungen von jeder IP-Adresse akzeptiert werden.
„Generell gilt: Wenn wir den Zugriff auf eine Vielzahl von IP-Adressen zulassen, setzen wir den PostgreSQL-Container einer potenziellen Bedrohung aus“, erklärt Bruskin.
Der alternative Angriffsvektor zielt auf Server mit anfälligen Versionen von PHPUnit, Liferay, WebLogic und WordPress ab, die anfällig für die Remotecodeausführung sind, um bösartige Nutzdaten auszuführen.
Bei einer kürzlich durchgeführten „weit verbreiteten Kampagne“ suchten die Angreifer nach dem offenen Standard-WebLogic-Port 7001 und führten, wenn sie ihn fanden, einen Shell-Befehl aus, um die Malware zu starten.
„Wenn der Cluster ohne angemessene Sicherheitsmaßnahmen dem Internet ausgesetzt ist, kann er von außen angegriffen werden“, so Bruskin. „Darüber hinaus können sich Angreifer Zugang zum Cluster verschaffen, indem sie bekannte Schwachstellen in den Images ausnutzen.