Se ha observado que los actores de amenazas vinculados a Kinsing intentan explotar la falla de escalada de privilegios de Linux recientemente revelada llamada Looney Tunables como parte de una “nueva campaña experimental” diseñada para violar los entornos de nube.
“Curiosamente, el atacante también está ampliando los horizontes de sus ataques nativos de la nube al extraer credenciales del proveedor de servicios en la nube (CSP)”, dijo la firma de seguridad en la nube Aqua. dicho en un informe compartido con The Hacker News.
El desarrollo marca el primer caso documentado públicamente de explotación activa de Looney Tunables (CVE-2023-4911), lo que podría permitir que un actor de amenazas obtener privilegios de root.
Los actores Kinsing tienen un historial de adaptación oportunista y rápida de sus cadenas de ataque para explotar en su beneficio las fallas de seguridad recientemente reveladas, y recientemente han convertido en un arma un error de alta gravedad en Openfire (CVE-2023-32315) para lograr la ejecución remota de código.
El último conjunto de ataques implica explotar una deficiencia crítica de ejecución remota de código en PHPUnit (CVE-2017-9841), una táctica conocido ser empleado por el grupo de criptojacking desde al menos 2021, para obtener acceso inicial.
A esto le sigue una prueba manual del entorno de la víctima en busca de Looney Tunables utilizando un exploit basado en Python. publicado por un investigador que se hace llamar bl4sty en X (anteriormente Twitter).
“Posteriormente, Kinsing busca y ejecuta un exploit PHP adicional”, dijo Aqua. “Al principio, el exploit está oculto; sin embargo, al desenmascararlo, se revela como un JavaScript diseñado para futuras actividades de explotación”.
El código JavaScript, por su parte, es un shell web que otorga acceso de puerta trasera al servidor, lo que permite al adversario realizar administración de archivos, ejecución de comandos y recopilar más información sobre la máquina en la que se está ejecutando.
El objetivo final del ataque parece ser extraer credenciales asociadas con el proveedor de servicios en la nube para ataques posteriores, un cambio táctico significativo con respecto a su patrón de implementar el malware Kinsing y lanzar un minero de criptomonedas.
“Esto marca el primer caso en el que Kinsing busca activamente recopilar dicha información”, dijo la compañía.
“Este reciente desarrollo sugiere una posible ampliación de su alcance operativo, lo que indica que la operación Kinsing puede diversificarse e intensificarse en el futuro cercano, planteando así una mayor amenaza para los entornos nativos de la nube”.