Kinsing Actor 利用最新 Linux 漏洞入侵云環(huán)境
據(jù)觀察,與 Kinsing 有關(guān)的威脅行為者試圖利用最近披露的名為 Looney Tunables 的 Linux 權(quán)限升級(jí)漏洞,入侵云環(huán)境。
云安全公司 Aqua 在一份報(bào)告中稱:攻擊者還通過(guò)從云服務(wù)提供商(CSP)提取憑證來(lái)擴(kuò)大其云原生攻擊的范圍。
這一事件標(biāo)志著首次公開記錄的主動(dòng)利用Looney Tunables(CVE-2023-4911)的實(shí)例,它可以讓威脅行為者獲得根權(quán)限。
Kinsing Actor 一直在伺機(jī)調(diào)整其攻擊鏈,利用新披露的安全漏洞為自己謀利,最近一次是利用 Openfire 中的一個(gè)高嚴(yán)重性漏洞(CVE-2023-32315)來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。
最新的一組攻擊需要利用 PHPUnit(CVE-2017-9841)中的一個(gè)關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞,據(jù)了解,該加密劫持組織至少?gòu)?2021 年開始就采用這種策略來(lái)獲取初始訪問權(quán)限。
Linux 漏洞
隨后,一名在 X(以前的 Twitter)上化名為 bl4sty 的研究人員發(fā)布了一個(gè)基于 Python 的漏洞利用程序,利用該漏洞手動(dòng)探測(cè)受害者環(huán)境中的 Looney Tunables。
隨后,Kinsing 會(huì)獲取并執(zhí)行一個(gè)額外的 PHP 漏洞。Aqua 表示:起初,該漏洞利用程序是模糊的。然而,在去混淆后,我們可以看到這是為進(jìn)一步利用活動(dòng)而設(shè)計(jì)的 JavaScript。
JavaScript代碼本身是一個(gè)網(wǎng)絡(luò)外殼,可對(duì)服務(wù)器進(jìn)行后門訪問,使其能夠執(zhí)行文件管理、命令執(zhí)行,并收集更多有關(guān)其運(yùn)行機(jī)器的信息。
攻擊的最終目的似乎是提取與云服務(wù)提供商相關(guān)的憑證,以便采取后續(xù)行動(dòng),這與威脅行為者部署 Kinsing 惡意軟件和啟動(dòng)加密貨幣礦機(jī)的模式相比,是一個(gè)重大的戰(zhàn)術(shù)轉(zhuǎn)變。
安全研究員阿薩夫-莫拉格(Assaf Morag)說(shuō):這標(biāo)志著 Kinsing 首次主動(dòng)尋求收集此類信息。
這一最新進(jìn)展表明,他們的行動(dòng)范圍有可能擴(kuò)大,預(yù)示著Kinsing的行動(dòng)在不久的將來(lái)可能會(huì)多樣化,從而對(duì)云原生環(huán)境構(gòu)成更大的威脅。
參考鏈接:https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html