Ataques de Kinsing en la nube: Explotación de vulnerabilidad crítica de Linux pone en jaque la seguridad en línea

Se ha observado que los actores de amenazas vinculados a Kinsing intentan explotar la falla de escalada de privilegios de Linux recientemente revelada llamada Looney Tunables como parte de una “nueva campaña experimental” diseñada para violar los entornos de nube.

El desarrollo marca el primer caso documentado públicamente de explotación activa de Looney Tunables ( CVE-2023-4911 ), que podría permitir a un actor de amenazas obtener privilegios de root .

Los actores de Kinsing se han destacado por su adaptación rápida y oportunista para aprovechar las vulnerabilidades recién reveladas a su favor. Recientemente, han empleado una vulnerabilidad crítica en Openfire (CVE-2023-32315) para llevar a cabo ejecuciones remotas de código. Su último conjunto de ataques implica la explotación de una deficiencia igualmente crítica en PHPUnit (CVE-2017-9841), táctica que han utilizado desde al menos 2021 para obtener acceso inicial.

La cadena de ataque continúa con una evaluación manual del entorno de la víctima en busca de Looney Tunables, utilizando un exploit en Python publicado por un investigador que utiliza el alias “bl4sty”. Luego, Kinsing busca y ejecuta un exploit adicional en PHP. Al principio, este exploit permanece oculto, pero al ser revelado, se manifiesta como un JavaScript diseñado para futuras actividades de explotación.

Este código JavaScript actúa como una puerta trasera, proporcionando acceso al servidor y permitiendo al adversario llevar a cabo la administración de archivos, la ejecución de comandos y la recopilación de información sobre la máquina en la que se está ejecutando.

El objetivo final de estos ataques parece ser la extracción de credenciales relacionadas con el proveedor de servicios en la nube, marcando un cambio táctico significativo en comparación con su patrón anterior de implementar malware Kinsing y lanzar mineros de criptomonedas.

Este nuevo enfoque sugiere una posible expansión en el alcance operativo de Kinsing y una intensificación en el futuro, lo que representa una amenaza más significativa para los entornos nativos de la nube.

fuente:thehackernews

You May Also Like

Malware que utiliza el exploit Google MultiLogin para mantener el acceso a pesar del restablecimiento de la contraseña

El grupo de ransomware RansomHub ha lanzado ataques contra 210 víctimas en sectores críticos.

El malware AllaKore RAT se dirige a empresas mexicanas con trucos de fraude financiero