Недавний анализ Tenable: старая Linux-вредоносная программа теперь нападает на серверы Tomcat

235

Компания Tenable обнаружила старое вредоносное ПО для Linux, которое теперь направлено на серверы Tomcat

Компания Tenable обнаружила вредоносное семейство Kinsing, которое уже несколько лет активно. Угроза, стоящая за Kinsing, обычно устанавливает бэкдоры и криптовалютные майнеры на системы. Kinsing использует ресурсы системы для криптомайнинга, что приводит к увеличению затрат и замедлению работы сервера.

Атакуя серверы Apache Tomcat, Kinsing использует новые методики для скрытия на файловой системе, используя невинные и не подозрительные файловые местоположения для постоянного пребывания.

В своем блоге команда облачной безопасности Tenable обнаружила, что Kinsing скрывается в нескольких местах на Linux системах, таких как /var/cache/man/cs/cat1/, /var/cache/man/cs/cat3/, /var/lib/gssproxy/rcache/, и /var/cache/man/zh_TW/cat8/. Эти местоположения обычно используются для легитимных системных файлов, что позволяет вредоносному ПО не вызывать подозрений и избегать обнаружения.

Обнаруженный вредоносный файл не новый, его впервые заметили в конце 2022 года в Китае. Специфическая атака на сервер Tomcat началась в середине 2023 года на основе дат создания файлов.

“Облачный криптомайнинг стал важным трендом в последние годы, благодаря масштабируемости и гибкости облачных платформ,” – сказал менеджер по исследованиям Tenable, Ари Эйтан. “В случае с Kinsing мы обнаружили несколько зараженных серверов в одной среде, включая сервер Apache Tomcat с критическими уязвимостями.”
Оригинальная новость на сайте