MKD-CIRT National Centre for Computer Incident Response
Актерите за закана поврзани со Kinsing беа забележани како се обидуваат да го искористат неодамна објавениот пропуст за ескалација на привилегиите на Linux наречен Looney Tunables како дел од „новата експериментална кампања“ дизајнирана да ги наруши облачните средини.
„Интригантно е тоа што напаѓачот исто така ги проширува хоризонтите на нивните напади од облакот со извлекување акредитиви од провајдерот на Cloud Service Provider (CSP)“, се вели во извештајот споделен со The Hacker News, фирмата за безбедност на облакот Aqua .
Развојот го означува првиот јавно документиран пример на активна експлоатација на Looney Tunables ( CVE-2023-4911 ), што би можело да му овозможи на актерот за закана да стекне привилегии за root .
Сродните актери имаат искуство за опортунистички и брзо прилагодување на нивните синџири за напади за да ги искористат новооткриените безбедносни пропусти во своја полза, откако неодамна вооружија грешка со висока сериозност во Openfire ( CVE-2023-32315 ) за да постигнат далечинско извршување на кодот.
Најновиот сет на напади подразбира искористување на критичен недостаток на далечинско извршување на кодот во PHPUnit ( CVE-2017-9841 ), тактика за која е позната дека се користи од групата за криптоџек од најмалку 2021 година, за да се добие првичен пристап.
Ова е проследено со рачно испитување на околината на жртвата за Looney Tunables користејќи експлоат базиран на Python објавен од истражувач кој го користи алијасот bl4sty на X (поранешен Twitter).
„Подоцна, Kinsing презема и извршува дополнителна PHP експлоатација“, рече Aqua. „Првично, експлоатацијата е замаглена; сепак, по де-заматување, се открива дека е JavaScript дизајниран за понатамошни експлоатативни активности“.
Кодот JavaScript, од своја страна, е веб-школка што овозможува пристап до задна врата до серверот, овозможувајќи му на противникот да изврши управување со датотеки, извршување команди и да собира повеќе информации за машината на која работи.
Се чини дека крајната цел на нападот е да се извлечат акредитиви поврзани со давателот на услугата облак за последователни напади, што претставува значајно тактичко поместување од неговиот модел на распоредување на малициозниот софтвер Kinsing и лансирање на рудар за криптовалути.
„Ова го означува инаугуративниот пример на Кинсинг кој активно се обидува да собере такви информации“, велат од компанијата.
„Овој неодамнешен развој сугерира потенцијално проширување на нивниот оперативен опсег, сигнализирајќи дека операцијата „Кинсинг“ може да се диверзифицира и интензивира во блиска иднина, а со тоа да претставува зголемена закана за средини на облакот.
Извор: (thehackernews.com)