Kinsing ile bağlantılı tehdit aktörlerinin, bulut ortamlarını ihlal etmek için tasarlanan “yeni deneysel kampanyanın” bir parçası olarak yakın zamanda açıklanan Looney Tunables adlı Linux ayrıcalık yükseltme kusurundan yararlanmaya çalıştıkları gözlemlendi.
Bulut güvenlik firması Aqua, The Hacker News ile paylaştığı bir raporda, “İlginç bir şekilde, saldırgan aynı zamanda Bulut Hizmet Sağlayıcısından (CSP) kimlik bilgileri alarak bulut tabanlı saldırılarının ufkunu da genişletiyor” dedi.
Bu gelişme, bir tehdit aktörünün kök ayrıcalıkları elde etmesine izin verebilecek Looney Tunables’ın (CVE-2023-4911) aktif olarak sömürülmesine ilişkin kamuya açık olarak belgelenen ilk örneği işaret ediyor.
Kinsing aktörleri, yakın zamanda Openfire’daki (CVE-2023-32315) yüksek önemdeki bir hatayı uzaktan kod yürütmeyi sağlamak için silah haline getirerek, saldırı zincirlerini yeni açıklanan güvenlik kusurlarından kendi avantajlarına yararlanmak üzere fırsatçı ve hızlı bir şekilde uyarlama konusunda bir geçmişe sahip.
En son saldırı dizisi, ilk erişimi elde etmek için cryptojacking grubu tarafından en az 2021’den beri kullanıldığı bilinen bir taktik olan PHPUnit’teki (CVE-2017-9841) kritik bir uzaktan kod yürütme eksikliğinden yararlanmayı gerektiriyor.
Bunu, takma adı kullanan bir araştırmacı tarafından yayınlanan Python tabanlı bir istismar kullanılarak Looney Tunables için kurban ortamının manuel olarak incelenmesi takip ediyor. bl4sty X’te (eski adıyla Twitter).
Aqua, “Daha sonra Kinsing ek bir PHP istismarı alıp çalıştırıyor” dedi. “Başlangıçta, istismar gizlenmiştir; ancak, gizlemenin giderilmesi üzerine, kendisinin daha fazla istismar faaliyetleri için tasarlanmış bir JavaScript olduğu ortaya çıkar.”
JavaScript kodu, sunucuya arka kapı erişimi sağlayan, saldırganın dosya yönetimi, komut yürütme ve üzerinde çalıştığı makine hakkında daha fazla bilgi toplamasına olanak tanıyan bir web kabuğudur.
Saldırının nihai amacı, takip eden saldırılar için bulut hizmet sağlayıcısıyla ilişkili kimlik bilgilerini çıkarmak gibi görünüyor; bu, Kinsing kötü amaçlı yazılımını dağıtma ve bir kripto para madencisini başlatma modelinden önemli bir taktiksel değişiklik.
Şirket, “Bu, Kinsing’in aktif olarak bu tür bilgileri toplamaya çalıştığı ilk örneği işaret ediyor” dedi.
“Bu son gelişme, Kinsing operasyonunun yakın gelecekte çeşitlenip yoğunlaşabileceğine ve dolayısıyla bulut tabanlı ortamlara yönelik artan bir tehdit oluşturabileceğine işaret ederek operasyonel kapsamlarının potansiyel olarak genişlediğini gösteriyor.”