Kinsing恶意软件利用Apache ActiveMQ漏洞进行加密货币挖矿

安全研究人员从趋势微观（Trend Micro）发现，Kinsing恶意软件（也被称为h2miner）正在积极利用Apache ActiveMQ漏洞CVE-2023-46604，通过下载并感染Linux系统以进行加密货币挖矿。这个允许远程代码执行（RCE）的漏洞已被Kinsing用来渗透服务器，并在网络中迅速传播。
Apache ActiveMQ漏洞CVE-2023-46604是一个影响OpenWire命令的严重安全漏洞，OpenWire是ActiveMQ的一个功能，允许不同应用程序之间进行通信。当被利用时，这个漏洞允许攻击者在受影响的系统上执行任意代码。

Kinsing恶意软件是一个特别危险的威胁，针对Linux系统。它可以通过利用Web应用程序的漏洞或配置错误的容器环境进入系统。一旦进入系统，Kinsing部署一个加密货币挖矿脚本，利用主机资源挖掘比特币等加密货币。这可能导致基础设施的显著损害和系统性能的负面影响。
为了利用Apache ActiveMQ漏洞CVE-2023-46604，Kinsing恶意软件使用一个公开的利用程序，利用ProcessBuilder方法在受影响的系统上执行命令。一旦利用了漏洞，Kinsing下载并执行一个恶意的安装程序，然后使用bash执行一个恶意脚本。
Kinsing恶意软件采取多种步骤来确保在受影响的主机上持久存在。它添加一个cronjob，每分钟下载并执行其恶意的引导脚本，并加载其rootkit到/etc/ld.so.preload，完成对整个系统的完全接管。
CVE-2023-46604漏洞正在被广泛的威胁行为者积极利用，包括Kinsing恶意软件背后的组织。这使得它成为全球组织的一个重要安全风险。
使用Apache ActiveMQ的组织必须立即采取行动，尽快修补CVE-2023-46604。此外，他们应保持最新的安全补丁，定期审核配置，并监视网络流量以察觉异常活动。