Les acteurs malveillants liés à Kinsing ont été observés en train de tenter d’exploiter la faille d’élévation de privilèges Linux récemment révélée appelée Looney Tunables dans le cadre d’une « nouvelle campagne expérimentale » conçue pour violer les environnements cloud.
« Curieusement, l’attaquant élargit également les horizons de ses attaques cloud natives en extrayant les informations d’identification du fournisseur de services cloud (CSP) », société de sécurité cloud Aqua. dit dans un rapport partagé avec The Hacker News.
Ce développement marque le premier cas publiquement documenté d’exploitation active des Looney Tunables (CVE-2023-4911), ce qui pourrait permettre à un acteur menaçant de obtenir les privilèges root.
Les acteurs de Kinsing ont l’habitude d’adapter de manière opportuniste et rapide leurs chaînes d’attaque pour exploiter à leur avantage les failles de sécurité récemment révélées, ayant récemment utilisé comme arme un bug de haute gravité dans Openfire (CVE-2023-32315) pour réaliser l’exécution de code à distance.
La dernière série d’attaques consiste à exploiter une lacune critique d’exécution de code à distance dans PHPUnit (CVE-2017-9841), une tactique connu être employé par le groupe de cryptojacking depuis au moins 2021, pour obtenir un premier accès.
Ceci est suivi d’une analyse manuelle de l’environnement de la victime pour les Looney Tunables à l’aide d’un exploit basé sur Python. publié par un chercheur qui porte le pseudonyme bl4sty sur X (anciennement Twitter).
« Par la suite, Kinsing récupère et exécute un exploit PHP supplémentaire », a déclaré Aqua. « Au départ, l’exploit est masqué ; cependant, une fois désobscurci, il se révèle être un code JavaScript conçu pour d’autres activités d’exploitation. »
Le code JavaScript, quant à lui, est un shell Web qui accorde un accès dérobé au serveur, permettant à l’adversaire d’effectuer la gestion des fichiers, l’exécution des commandes et de recueillir plus d’informations sur la machine sur laquelle il s’exécute.
L’objectif final de l’attaque semble être d’extraire les informations d’identification associées au fournisseur de services cloud pour des attaques ultérieures, un changement tactique important par rapport à son modèle de déploiement du malware Kinsing et de lancement d’un mineur de crypto-monnaie.
« C’est la première fois que Kinsing cherche activement à recueillir de telles informations », a déclaré la société.
« Ce développement récent suggère un élargissement potentiel de leur portée opérationnelle, signalant que les opérations de Kinsing pourraient se diversifier et s’intensifier dans un avenir proche, posant ainsi une menace accrue pour les environnements cloud natifs. »