Os operadores do malware Kinsing estão visando ambientes de nuvem com sistemas vulneráveis ao "Looney Tunables", um problema de segurança do Linux identificado como
CVE-2023-4911
que permite a um atacante local obter privilégios de root no sistema.
"Looney Tunables" se trata de um transbordamento de buffer no carregador dinâmico (ld.so) da glibc, introduzido na versão 2.34 da glibc em abril de 2021, mas divulgado apenas no início de outubro de 2023.
Dias depois da divulgação, exploits de prova de conceito (PoC) se tornaram publicamente disponíveis.
Em um relatório da empresa de segurança de nuvem Aqua Nautilus, pesquisadores descrevem um ataque de malware Kinsing no qual o invasor explorou o
CVE-2023-4911
para elevar permissões em uma máquina comprometida.
Kinsing é conhecido por violar sistemas baseados em nuvem e aplicativos neles (por exemplo, Kubernetes, APIs Docker, Redis, Jenkins) para implantar software de mineração de criptomoedas.
Recentemente, a Microsoft observou ataques direcionados a clusters do Kubernetes através de containers PostgreSQL mal configurados.
Os pesquisadores da Aqua Nautilus afirmam que o ataque começa com a exploração de uma vulnerabilidade conhecida na estrutura de testes do PHP 'PHPUnit' para obter uma base de execução de código, seguida pela ativação do problema 'Looney Tunables' para escalar privilégios.
"Através de uma exploração rudimentar, porém típica, de uma vulnerabilidade do PHPUnit, um componente da atual campanha do Kinsing, descobrimos os esforços manuais do invasor para manipular a vulnerabilidade Looney Tunables," lê-se no relatório da Aqua Nautilus.
Em contraste com seu padrão operacional normal, o Kinsing testou o último ataque manualmente, provavelmente para garantir que funcionasse conforme esperado antes de desenvolver scripts de exploração para automatizar a tarefa.
A exploração da falha do PHPUnit (
CVE-2017-9841
) leva à abertura de um shell reverso na porta 1337 do sistema comprometido, que os operadores do Kinsing utilizam para executar comandos de reconhecimento, como 'uname -a' e 'passwrd.'
Além disso, os invasores deixam um script chamado 'gnu-acme.py' no sistema, que usa o
CVE-2023-4911
para elevar os privilégios.
O exploit para "Looney Tunables" é obtido diretamente do repositório do pesquisador que lançou um PoC, provavelmente para ocultar seus rastros.
BleepingComputer notificou o pesquisador sobre o abuso, e ele prometeu interromper a operação maliciosa substituindo o link direto.
Os atacantes também baixam um script PHP que implanta um backdoor de shell da web em JavaScript ('wesobase.js') que suporta os estágios subsequentes do ataque.
Especificamente, o backdoor fornece aos invasores a capacidade de executar comandos, realizar ações de gerenciamento de arquivos, coletar informações sobre a rede e o servidor, e executar funções de criptografia/decodificação.
Finalmente, Kinsing mostrou interesse nas credenciais do provedor de serviços em nuvem (CSP), particularmente para acessar os dados de identidade da instância AWS.
A AquaSec caracteriza isso como uma mudança significativa em direção a atividades mais sofisticadas e prejudiciais para o invasor.
Os pesquisadores acreditam que essa campanha foi um experimento, pois o invasor confiou em táticas diferentes e expandiu o escopo do ataque para coletar credenciais dos Provedores de Serviços de Nuvem.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...