Злоумышленники, связанные с криптоджекинговой группой Kinsing, начали активно использовать обнаруженную в октябре уязвимость в Linux, известную как Looney Tunables ( CVE-2023-4911 ), для осуществления атак с целью проникновения в облачные среды. Об этом сообщает компания по безопасности облачных технологий AquaSec.
Анализ исследователей знаменует собой первый публично задокументированный случай активного использования Looney Tunables, который позволил злоумышленнику получить права суперпользователя в целевой среде.
Новая кампания характеризуется использованием старой уязвимости в PHPUnit ( CVE-2017-9841 ), позволяющей выполнять произвольный код. Этот подход в Kinsing применяли для получения первичного доступа к различным системам по крайней мере с 2021 года.
В рамках последних атак злоумышленники использовали PoC-эксплойт на Python, опубликованный исследователем под псевдонимом bl4sty 5-го октября. После этого хакеры Kinsing запустили дополнительный PHP-эксплойт, который, как выяснилось после деобфускации, представлял из себя JavaScript, предназначенный для дальнейшей эксплуатации.
Данный JavaScript-код выполнял функции веб-оболочки, предоставляя злоумышленникам возможности для управления файлами, выполнения команд и сбора информации об устройстве.
Основная цель атаки — извлечение учётных данных провайдера облачных услуг для последующих действий. Подобная цель отходит от обычной практики группы Kinsing, заключавшейся в развёртывании вредоносного ПО и запуске майнеров криптовалют.
Однако исследователи отмечают, что это свидетельствует о потенциальном расширении операционных масштабов группировки и может указывать на то, что в ближайшем будущем их действия могут стать более разнообразными и интенсивными, увеличивая угрозу для облачных сред.