Se ha observado que los actores de amenazas vinculados a Kinsing intentan explotar la falla de escalada de privilegios de Linux recientemente revelada llamada Looney Tunables como parte de una “nueva campaña experimental” diseñada para vulnerar los entornos en la nube.
“Curiosamente, el atacante también está ampliando los horizontes de sus ataques nativos de la nube mediante la extracción de credenciales del proveedor de servicios en la nube (CSP)”, dijo la firma de seguridad en la nube Aqua.
El desarrollo marca el primer caso documentado públicamente de explotación activa de Looney Tunables (CVE-2023-4911), que podría permitir que un actor de amenazas obtenga privilegios de root.
Los actores de Kinsing tienen un historial de adaptación oportunista y rápida de sus cadenas de ataque para explotar los fallos de seguridad recientemente revelados en su beneficio, habiendo utilizado recientemente un error de alta gravedad en Openfire (CVE-2023-32315) para lograr la ejecución remota de código.
El último conjunto de ataques implica la explotación de una deficiencia crítica de ejecución remota de código en PHPUnit (CVE-2017-9841), una táctica que se sabe que emplea el grupo de cryptojacking desde al menos 2021, para obtener acceso inicial.
A continuación, se sondea manualmente el entorno de la víctima en busca de Looney Tunables utilizando un exploit basado en Python publicado por un investigador que se hace llamar bl4sty en X (anteriormente Twitter).
“Posteriormente, Kinsing obtiene y ejecuta un exploit PHP adicional”, dijo Aqua. “Inicialmente, el exploit está oscurecido; sin embargo, tras la desofuscación, se revela como un JavaScript diseñado para otras actividades de explotación”.
El código JavaScript, por su parte, es un shell web que otorga acceso de puerta trasera al servidor, lo que permite al adversario realizar la administración de archivos, la ejecución de comandos y recopilar más información sobre la máquina en la que se está ejecutando.
El objetivo final del ataque parece ser extraer las credenciales asociadas con el proveedor de servicios en la nube para acciones de seguimiento, un cambio táctico significativo con respecto al patrón del actor de amenazas de implementar el malware Kinsing y lanzar un minero de criptomonedas.
“Esta es la primera instancia en la que Kinsing busca activamente recopilar dicha información”, dijo el investigador de seguridad Assaf Morag.
“Este desarrollo reciente sugiere una posible ampliación de su alcance operativo, lo que indica que la operación de Kinsing puede diversificarse e intensificarse en un futuro próximo, lo que supone una mayor amenaza para los entornos nativos de la nube”.
