據(jù)觀察，與 Kinsing 有關(guān)的威脅行為者試圖利用最近披露的名為 Looney Tunables 的 Linux 權(quán)限升級(jí)漏洞，入侵云環(huán)境。

云安全公司 Aqua 在一份報(bào)告中稱：攻擊者還通過(guò)從云服務(wù)提供商（CSP）提取憑證來(lái)擴(kuò)大其云原生攻擊的范圍。

這一事件標(biāo)志著首次公開記錄的主動(dòng)利用Looney Tunables（CVE-2023-4911）的實(shí)例，它可以讓威脅行為者獲得根權(quán)限。

Kinsing Actor 一直在伺機(jī)調(diào)整其攻擊鏈，利用新披露的安全漏洞為自己謀利，最近一次是利用 Openfire 中的一個(gè)高嚴(yán)重性漏洞（CVE-2023-32315）來(lái)實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

最新的一組攻擊需要利用 PHPUnit（CVE-2017-9841）中的一個(gè)關(guān)鍵遠(yuǎn)程代碼執(zhí)行漏洞，據(jù)了解，該加密劫持組織至少?gòu)?2021 年開始就采用這種策略來(lái)獲取初始訪問權(quán)限。

Linux 漏洞

隨后，一名在 X（以前的 Twitter）上化名為 bl4sty 的研究人員發(fā)布了一個(gè)基于 Python 的漏洞利用程序，利用該漏洞手動(dòng)探測(cè)受害者環(huán)境中的 Looney Tunables。

隨后，Kinsing 會(huì)獲取并執(zhí)行一個(gè)額外的 PHP 漏洞。Aqua 表示：起初，該漏洞利用程序是模糊的。然而，在去混淆后，我們可以看到這是為進(jìn)一步利用活動(dòng)而設(shè)計(jì)的 JavaScript。

JavaScript代碼本身是一個(gè)網(wǎng)絡(luò)外殼，可對(duì)服務(wù)器進(jìn)行后門訪問，使其能夠執(zhí)行文件管理、命令執(zhí)行，并收集更多有關(guān)其運(yùn)行機(jī)器的信息。

攻擊的最終目的似乎是提取與云服務(wù)提供商相關(guān)的憑證，以便采取后續(xù)行動(dòng)，這與威脅行為者部署 Kinsing 惡意軟件和啟動(dòng)加密貨幣礦機(jī)的模式相比，是一個(gè)重大的戰(zhàn)術(shù)轉(zhuǎn)變。

安全研究員阿薩夫-莫拉格（Assaf Morag）說(shuō)：這標(biāo)志著 Kinsing 首次主動(dòng)尋求收集此類信息。

這一最新進(jìn)展表明，他們的行動(dòng)范圍有可能擴(kuò)大，預(yù)示著Kinsing的行動(dòng)在不久的將來(lái)可能會(huì)多樣化，從而對(duì)云原生環(huán)境構(gòu)成更大的威脅。

參考鏈接：https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html