Não está nada fácil a vida do internauta e das equipes de segurança. Seja qual for o sistema operacional, ninguém está totalmente protegido. Desta vez, o grupo de hackers do Kinsing exploram falha recente do Linux para violar ambientes de nuvem. Eles foram flagrados tentando explorar a falha de escalonamento de privilégios do Linux recentemente divulgada, chamada Looney Tunables, como parte de uma “nova campanha experimental” projetada para violar ambientes de nuvem.
“Curiosamente, o invasor também está ampliando os horizontes de seus ataques nativos da nuvem, extraindo credenciais do provedor de serviços de nuvem (CSP)”, disse a empresa de segurança em nuvem Aqua em um relatório oficial. O desenvolvimento marca o primeiro caso documentado publicamente de exploração ativa de Looney Tunables (CVE-2023-4911), o que poderia permitir que um ator de ameaça obtivesse privilégios de root.
Os atores Kinsing têm um histórico de adaptação rápida e oportunista de suas cadeias de ataque para explorar falhas de segurança recentemente divulgadas em seu benefício, tendo mais recentemente transformado em arma um bug de alta gravidade no Openfire (CVE-2023-32315) para obter execução remota de código.
O último conjunto de ataques envolve a exploração de uma falha crítica de execução remota de código no PHPUnit (CVE-2017-9841), uma tática conhecida por ser empregada pelo grupo de cryptojacking desde pelo menos 2021, para obter acesso inicial.
Hackers do Kinsing exploram falha recente do Linux para violar ambientes de nuvem
Isso é seguido pela investigação manual do ambiente da vítima em busca de Looney Tunables usando um exploit baseado em Python publicado por um pesquisador que atende pelo pseudônimo bl4sty no X (anteriormente Twitter).
“Posteriormente, Kinsing busca e executa uma exploração adicional de PHP”, disse Aqua. “Inicialmente, a exploração é obscurecida; no entanto, após a desofuscação, revela-se um JavaScript projetado para futuras atividades de exploração.”
O código JavaScript, por sua vez, é um web shell que concede acesso backdoor ao servidor, permitindo ao adversário realizar gerenciamento de arquivos, execução de comandos e coletar mais informações sobre a máquina em que está sendo executado.
Cíbersegurança
O objetivo final do ataque parece ser extrair credenciais associadas ao provedor de serviços em nuvem para ataques subsequentes, uma mudança tática significativa em seu padrão de implantação do malware Kinsing e lançamento de um minerador de criptomoedas.
“Isso marca a primeira instância da Kinsing buscando ativamente coletar tais informações”, disse a empresa.
“Este desenvolvimento recente sugere uma potencial ampliação do seu âmbito operacional, sinalizando que a operação Kinsing pode diversificar-se e intensificar-se num futuro próximo, representando assim uma ameaça crescente aos ambientes nativos da nuvem”.