Фирменный ботнет для криптоджекинга всё время расширяется, доставляя проблемы сотням организаций.
Группа криптоджекинга Kinsing продолжает эволюционировать, представляя постоянную угрозу в цифровом пространстве. Компания AquaSec сообщает, что Kinsing с 2019 года постоянно организует незаконные кампании по добыче криптовалют, оперативно интегрируя новые уязвимости для расширения своего ботнета.
Kinsing, также известный как H2Miner, это название как для вредоносного ПО, так и для группы, стоящей за ним. С момента первого документирования в январе 2020 года Kinsing непрерывно расширяет свои инструменты новыми эксплойтами, чтобы включить заражённые системы в криптомайнинговый ботнет.
Кампании с использованием вредоносного ПО на базе Golang эксплуатировали уязвимости в системах, таких как Apache Log4j, Atlassian Confluence, Citrix, Linux и Oracle WebLogic Server. Также использовались ошибки конфигурации Docker, PostgreSQL и Redis для первоначального доступа.
В 2021 году анализ компании CyberArk выявил сходства между Kinsing и другим вредоносным ПО NSPPS, сделав вывод, что оба представляют одно и то же семейство.
Инфраструктура атак Kinsing делится на три категории: начальные серверы для сканирования и эксплуатации уязвимостей, серверы для загрузки полезных данных и C2-серверы, поддерживающие связь с заражёнными хостами.
«Kinsing нацеливается на различные операционные системы», сообщает Aqua. «Например, Kinsing часто использует shell и Bash скрипты для эксплуатации Linux-серверов, а на Windows серверах через PowerShell атакует Openfire».
Группа также активно нацеливается на Open Source приложения, которые составляют 91% от всех атакованных программ. Основные цели — runtime-приложения (67%), базы данных (9%) и облачная инфраструктура (8%).
Анализ выявленных экземпляров вредоносов показал три категории программ, используемых группой в своих кампаниях:
- Скрипты типа I и II, загружающие следующие компоненты атаки, устраняющие конкурентов, обходящие защиту и отключающие брандмауэры и защитные инструменты.
- Вспомогательные скрипты, предназначенные для первоначального доступа, отключения специфических компонентов безопасности Alibaba Cloud и Tencent Cloud, открытия обратной оболочки и загрузки полезных нагрузок майнера.
- Бинарные файлы, являющиеся вторичными полезными данными, включая ядро Kinsing и крипто-майнер для Monero.
Вредоносное ПО контролирует процесс майнинга, делится идентификатором процесса (PID) с C2-сервером, выполняет проверки подключения и отправляет результаты выполнения.
«Kinsing нацеливается на системы Linux и Windows, часто эксплуатируя уязвимости в веб-приложениях или неправильные конфигурации, такие как Docker API и Kubernetes», отмечает Aqua. «Для предотвращения угроз, подобных Kinsing, важны проактивные меры, такие как укрепление рабочих нагрузок до развёртывания».
Данные из отчёта AquaSec показывают, что ботнеты постоянно находят новые способы расширения и вовлечения машин во всемирной сети для проведения вредоносной деятельности.
Для защиты от угроз, подобных Kinsing, необходимо применять проактивные меры безопасности, включая своевременное устранение уязвимостей, надлежащую конфигурацию систем и решений для предотвращения использования вредоносным ПО незакрытых векторов атаки.
Искусственный интеллект уже умнее вас. Как не стать рабом машин?
Узнайте у нас!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
