Kinsing tehdit aktörlerinin yakın zamanda açıklanan Looney Tunables (CVE-2023-4911) güvenlik açığından yararlanarak kripto madencilik yazılımını bulut tabanlı ortamlara gizlice yüklediği görüldü.
Kinsing (diğer adıyla Money Libra), 2021’in sonlarından bu yana aktif olan ve Kubernetes kümeleri, Docker API, Redis, Jenkins ve Openfire sunucuları, bulutta barındırılan Apache NiFi örnekleri vb. gibi bulut tabanlı ortamları ve uygulamaları hedefleyen bir tehdit aktörü grubudur. – kripto madencilerini dağıtmak için.
Kinsing, PHPUnit ve Looney Tunables güvenlik açıklarından yararlanıyor
Aqua Security araştırmacıları tarafından tespit edilen bu son saldırıda, ilk erişim için PHP test çerçevesi PHPUnit’teki kritik bir uzaktan kod yürütme güvenlik açığından (CVE-2017-9841) ve ardından GNU’daki arabellek taşması güvenlik açığı olan CVE-2023-4911’den yararlanılıyor. Temel Linux dağıtımında kök ayrıcalıklarına ulaşmak için C Kitaplığı’nın dinamik yükleyicisi.
“Tipik olarak Kinsing, temel amacı kripto para birimi madenciliği olan tam otomatik saldırılara girişiyor. Ancak bu son keşifte Kinsing’in, olağan işleyiş tarzından saparak manuel testler yaptığını gözlemledik,” diye belirtti Aqua Security Baş Veri Analisti Assaf Morag.
Saldırganlar, sistem ve kullanıcı bilgileri için ortamı manuel olarak araştırdı ve yeni bir etkileşimli kabuk oturumu başlattı. Ayrıca, biri Looney Tunables istismarını içeren (doğrudan bir araştırmacının web sitesinden indirilen) ve diğeri bir web kabuğu (arka kapı) oluşturan bir tane de dahil olmak üzere çeşitli komut dosyalarını indirip çalıştırdılar.
Morag, “Sonuçta Kinsing’in Bulut Hizmet Sağlayıcısı (CSP) ile ilgili ayrıntıları ve kimlik bilgilerini sıralamaya çalıştığı ortaya çıktı” dedi.
“Bildiğimiz kadarıyla Kinsing ilk kez bu tür bilgileri toplamaya çalışıyor. Önceleri çoğunlukla kötü amaçlı yazılımlarını yaymaya ve bir kripto madenci çalıştırmaya odaklanıyorlardı; rekabeti ortadan kaldırarak veya tespit edilmekten kaçınarak başarılı olma şanslarını artırmaya çalışıyorlardı. Ancak bu yeni hamle, Kinsing’in yakın zamanda daha çeşitli ve yoğun faaliyetler yapmayı planlayabileceğini gösteriyor; bu da bulutta çalışan sistemler ve hizmetler için daha büyük bir risk anlamına gelebilir.