Уязвимость позволяет получить полный контроль над компьютером

ИБ-компания Trend Micro обнаружила , что группировка Kinsing использует уязвимость в Oracle WebLogic Server, чтобы отключить функции безопасности Linux, таких как Security-Enhanced Linux (SELinux) и другие службы.

Хакеры используют RCE — уязвимость CVE-2020-14882 (оценка CVSS: 9,8), обнаруженную в 2020 году, чтобы захватить контроль над непропатченным Linux-сервером и доставить вредоносную полезную нагрузку.

Успешная эксплуатация уязвимости приводит к развертыванию сценария оболочки, который выполняет следующие действия:

удаление системного журнала «/var/log/syslog»;
отключение функций безопасности и агентов облачных служб от Alibaba и Tencent;
уничтожение существующих процессов майнинга и запуск собственного криптомайнера.
Затем сценарий загружает вредоносное ПО Kinsing с удаленного сервера и обеспечивает сохранение в системе с помощью задания «cron».

По словам исследователей Trend Micro, после внедрения Kinsing может выполнять множество вредоносных действий в системе, начиная от запуска вредоносного ПО до кражи конфиденциальных данных и полного контроля над скомпрометированной машиной.