Er is waargenomen dat de aan Kinsing gelinkte dreigingsactoren proberen misbruik te maken van de onlangs onthulde escalatiefout in Linux-privileges genaamd Looney Tunables als onderdeel van een “nieuwe experimentele campagne” die is ontworpen om cloudomgevingen te doorbreken.
“Intrigerend genoeg verbreedt de aanvaller ook de horizon van zijn cloud-native aanvallen door inloggegevens van de Cloud Service Provider (CSP) te extraheren”, zei cloudbeveiligingsbedrijf Aqua in een rapport gedeeld met The Hacker News.
De ontwikkeling markeert het eerste publiekelijk gedocumenteerde geval van actieve exploitatie van Looney Tunables (CVE-2023-4911), waardoor een bedreigingsactor rootprivileges zou kunnen verkrijgen.
Verwante actoren hebben een staat van dienst in het opportunistisch en snel aanpassen van hun aanvalsketens om nieuw onthulde beveiligingsfouten in hun voordeel te benutten, waarbij ze recentelijk een zeer ernstige bug in Openfire (CVE-2023-32315) hebben ingezet om code-uitvoering op afstand te bewerkstelligen.
De nieuwste reeks aanvallen omvat het misbruiken van een kritieke tekortkoming in de uitvoering van externe code in PHPUnit (CVE-2017-9841), een tactiek waarvan bekend is dat deze sinds ten minste 2021 door de cryptojackinggroep wordt toegepast, om initiële toegang te verkrijgen.
Dit wordt gevolgd door het handmatig doorzoeken van de slachtofferomgeving op Looney Tunables met behulp van een op Python gebaseerde exploit, gepubliceerd door een onderzoeker die de alias draagt bl4sty op X (voorheen Twitter).
“Vervolgens haalt Kinsing een extra PHP-exploit op en voert deze uit”, aldus Aqua. “In eerste instantie is de exploit verborgen, maar na het de-obfusceren blijkt het een JavaScript te zijn dat is ontworpen voor verdere uitbuitingsactiviteiten.”
De JavaScript-code op zijn beurt is een webshell die achterdeurtoegang tot de server verleent, waardoor de tegenstander bestandsbeheer kan uitvoeren, opdrachten kan uitvoeren en meer informatie kan verzamelen over de machine waarop deze draait.
Het einddoel van de aanval lijkt te zijn om inloggegevens te verzamelen die aan de cloudserviceprovider zijn gekoppeld voor vervolgaanvallen, een aanzienlijke tactische verschuiving ten opzichte van het patroon van het inzetten van de Kinsing-malware en het lanceren van een cryptocurrency-miner.
“Dit markeert het eerste voorbeeld van Kinsing die actief op zoek is naar het verzamelen van dergelijke informatie”, aldus het bedrijf.
“Deze recente ontwikkeling suggereert een potentiële verbreding van hun operationele reikwijdte, wat aangeeft dat de Kinsing-operatie in de nabije toekomst kan diversifiëren en intensiveren, waardoor een grotere bedreiging voor cloud-native omgevingen ontstaat.”
