07/11/23
Злоумышленники, связанные с криптоджекинговой группой Kinsing, начали активно использовать обнаруженную в октябре уязвимость в Linux, известную как Looney Tunables (CVE-2023-4911), для осуществления атак с целью проникновения в облачные среды. Об этом сообщает компания по безопасности облачных технологий AquaSec, передаёт Securitylab.
Анализ исследователей знаменует собой первый публично задокументированный случай активного использования Looney Tunables, который позволил злоумышленнику получить права суперпользователя в целевой среде.
Новая кампания характеризуется использованием старой уязвимости в PHPUnit ( CVE-2017-9841 ), позволяющей выполнять произвольный код. Этот подход в Kinsing применяли для получения первичного доступа к различным системам по крайней мере с 2021 года.
В рамках последних атак злоумышленники использовали PoC-эксплойт на Python, опубликованный исследователем под псевдонимом bl4sty 5-го октября. После этого хакеры Kinsing запустили дополнительный PHP-эксплойт, который, как выяснилось после деобфускации, представлял из себя JavaScript, предназначенный для дальнейшей эксплуатации.
Данный JavaScript-код выполнял функции веб-оболочки, предоставляя злоумышленникам возможности для управления файлами, выполнения команд и сбора информации об устройстве.
Основная цель атаки — извлечение учётных данных провайдера облачных услуг для последующих действий. Подобная цель отходит от обычной практики группы Kinsing, заключавшейся в развёртывании вредоносного ПО и запуске майнеров криптовалют.
Однако исследователи отмечают, что это свидетельствует о потенциальном расширении операционных масштабов группировки и может указывать на то, что в ближайшем будущем их действия могут стать более разнообразными и интенсивными, увеличивая угрозу для облачных сред.
