Os atores de ameaças associados ao Kinsing foram observados tentando explorar a recentemente divulgada falha de escalonamento de privilégios no Linux chamada Looney Tunables como parte de uma "nova campanha experimental" destinada a violar ambientes de nuvem.
"Intrigantemente, o atacante também está ampliando os horizontes de seus ataques nativos de nuvem, extraindo credenciais do Provedor de Serviços em Nuvem (CSP)", disse a empresa de segurança de nuvem Aqua em um relatório compartilhado com O Hacker News.
O desenvolvimento marca a primeira instância documentada publicamente de exploração ativa do Looney Tunables (
CVE-2023-4911
), que poderia permitir a um ator de ameaças ganhar privilégios de root.
Os atores do Kinsing têm um histórico de adaptação rápida e oportunista de suas cadeias de ataques para explorar falhas de segurança recém-divulgadas para sua vantagem, tendo recentemente utilizou um bug de alta gravidade no Openfire (
CVE-2023-32315
) para alcançar a execução de código remoto.
O último conjunto de ataques envolve a exploração de uma falha crítica na execução de código remoto no PHPUnit (
CVE-2017-9841
), uma tática conhecida por ser empregada pelo grupo de criptojacking desde pelo menos 2021, para obter acesso inicial.
Isso é seguido pela sondagem manual do ambiente da vítima para Looney Tunables usando um exploit baseado em Python publicado por um pesquisador que usa o alias bl4sty no X (antigamente Twitter).
"Posteriormente, o Kinsing busca e executa um exploit PHP adicional," disse a Aqua.
"Inicialmente, o exploit está obscurecido; no entanto, ao ser desobscurecido, revela-se um JavaScript projetado para atividades exploratórias adicionais."
O código JavaScript, por sua vez, é um web shell que concede acesso de backdoor ao servidor, permitindo ao adversário executar gerenciamento de arquivos, execução de comandos e coletar mais informações sobre a máquina em que está sendo executado.
O objetivo final do ataque parece ser extrair credenciais associadas ao provedor de serviço de nuvem para ações subsequentes, uma mudança tática significativa no padrão do ator de ameaças de implementar o malware Kinsing e lançar um minerador de criptomoedas.
"Esta é a primeira instância do Kinsing procurando ativamente coletar essas informações", disse o pesquisador de segurança Assaf Morag.
"Este recente desenvolvimento sugere uma possível expansão de seu escopo operacional, sinalizando que a operação do Kinsing pode se diversificar e intensificar no futuro próximo, representando assim uma ameaça aumentada para ambientes nativos de nuvem."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...