Atores Kinsing Exploram Falha Recente no Linux para Violar Ambientes em Nuvem
6 de Novembro de 2023

Os atores de ameaças associados ao Kinsing foram observados tentando explorar a recentemente divulgada falha de escalonamento de privilégios no Linux chamada Looney Tunables como parte de uma "nova campanha experimental" destinada a violar ambientes de nuvem.

"Intrigantemente, o atacante também está ampliando os horizontes de seus ataques nativos de nuvem, extraindo credenciais do Provedor de Serviços em Nuvem (CSP)", disse a empresa de segurança de nuvem Aqua em um relatório compartilhado com O Hacker News.

O desenvolvimento marca a primeira instância documentada publicamente de exploração ativa do Looney Tunables ( CVE-2023-4911 ), que poderia permitir a um ator de ameaças ganhar privilégios de root.

Os atores do Kinsing têm um histórico de adaptação rápida e oportunista de suas cadeias de ataques para explorar falhas de segurança recém-divulgadas para sua vantagem, tendo recentemente utilizou um bug de alta gravidade no Openfire ( CVE-2023-32315 ) para alcançar a execução de código remoto.

O último conjunto de ataques envolve a exploração de uma falha crítica na execução de código remoto no PHPUnit ( CVE-2017-9841 ), uma tática conhecida por ser empregada pelo grupo de criptojacking desde pelo menos 2021, para obter acesso inicial.

Isso é seguido pela sondagem manual do ambiente da vítima para Looney Tunables usando um exploit baseado em Python publicado por um pesquisador que usa o alias bl4sty no X (antigamente Twitter).
"Posteriormente, o Kinsing busca e executa um exploit PHP adicional," disse a Aqua.

"Inicialmente, o exploit está obscurecido; no entanto, ao ser desobscurecido, revela-se um JavaScript projetado para atividades exploratórias adicionais."

O código JavaScript, por sua vez, é um web shell que concede acesso de backdoor ao servidor, permitindo ao adversário executar gerenciamento de arquivos, execução de comandos e coletar mais informações sobre a máquina em que está sendo executado.

O objetivo final do ataque parece ser extrair credenciais associadas ao provedor de serviço de nuvem para ações subsequentes, uma mudança tática significativa no padrão do ator de ameaças de implementar o malware Kinsing e lançar um minerador de criptomoedas.

"Esta é a primeira instância do Kinsing procurando ativamente coletar essas informações", disse o pesquisador de segurança Assaf Morag.

"Este recente desenvolvimento sugere uma possível expansão de seu escopo operacional, sinalizando que a operação do Kinsing pode se diversificar e intensificar no futuro próximo, representando assim uma ameaça aumentada para ambientes nativos de nuvem."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...