Se ha observado que los actores de amenazas vinculados a Kinsing intentan explotar la falla de escalada de privilegios de Linux recientemente revelada llamada Looney Tunables como parte de una “nueva campaña experimental” diseñada para violar los entornos de nube.

El desarrollo marca el primer caso documentado públicamente de explotación activa de Looney Tunables ( CVE-2023-4911 ), que podría permitir a un actor de amenazas obtener privilegios de root .

Los actores de Kinsing se han destacado por su adaptación rápida y oportunista para aprovechar las vulnerabilidades recién reveladas a su favor. Recientemente, han empleado una vulnerabilidad crítica en Openfire (CVE-2023-32315) para llevar a cabo ejecuciones remotas de código. Su último conjunto de ataques implica la explotación de una deficiencia igualmente crítica en PHPUnit (CVE-2017-9841), táctica que han utilizado desde al menos 2021 para obtener acceso inicial.

La cadena de ataque continúa con una evaluación manual del entorno de la víctima en busca de Looney Tunables, utilizando un exploit en Python publicado por un investigador que utiliza el alias “bl4sty”. Luego, Kinsing busca y ejecuta un exploit adicional en PHP. Al principio, este exploit permanece oculto, pero al ser revelado, se manifiesta como un JavaScript diseñado para futuras actividades de explotación.

Este código JavaScript actúa como una puerta trasera, proporcionando acceso al servidor y permitiendo al adversario llevar a cabo la administración de archivos, la ejecución de comandos y la recopilación de información sobre la máquina en la que se está ejecutando.

El objetivo final de estos ataques parece ser la extracción de credenciales relacionadas con el proveedor de servicios en la nube, marcando un cambio táctico significativo en comparación con su patrón anterior de implementar malware Kinsing y lanzar mineros de criptomonedas.

Este nuevo enfoque sugiere una posible expansión en el alcance operativo de Kinsing y una intensificación en el futuro, lo que representa una amenaza más significativa para los entornos nativos de la nube.

fuente:thehackernews