據(jù)觀察，與 Kinsing 有關的威脅行為者試圖利用最近披露的名為 Looney Tunables 的 Linux 權限升級漏洞，入侵云環(huán)境。

云安全公司 Aqua 在一份報告中稱：攻擊者還通過從云服務提供商（CSP）提取憑證來擴大其云原生攻擊的范圍。

這一事件標志著首次公開記錄的主動利用Looney Tunables（CVE-2023-4911）的實例，它可以讓威脅行為者獲得根權限。

Kinsing Actor 一直在伺機調(diào)整其攻擊鏈，利用新披露的安全漏洞為自己謀利，最近一次是利用 Openfire 中的一個高嚴重性漏洞（CVE-2023-32315）來實現(xiàn)遠程代碼執(zhí)行。

最新的一組攻擊需要利用 PHPUnit（CVE-2017-9841）中的一個關鍵遠程代碼執(zhí)行漏洞，據(jù)了解，該加密劫持組織至少從 2021 年開始就采用這種策略來獲取初始訪問權限。

Linux 漏洞

隨后，一名在 X（以前的 Twitter）上化名為 bl4sty 的研究人員發(fā)布了一個基于 Python 的漏洞利用程序，利用該漏洞手動探測受害者環(huán)境中的 Looney Tunables。

隨后，Kinsing 會獲取并執(zhí)行一個額外的 PHP 漏洞。Aqua 表示：起初，該漏洞利用程序是模糊的。然而，在去混淆后，我們可以看到這是為進一步利用活動而設計的 JavaScript。

JavaScript代碼本身是一個網(wǎng)絡外殼，可對服務器進行后門訪問，使其能夠執(zhí)行文件管理、命令執(zhí)行，并收集更多有關其運行機器的信息。

攻擊的最終目的似乎是提取與云服務提供商相關的憑證，以便采取后續(xù)行動，這與威脅行為者部署 Kinsing 惡意軟件和啟動加密貨幣礦機的模式相比，是一個重大的戰(zhàn)術轉(zhuǎn)變。

安全研究員阿薩夫-莫拉格（Assaf Morag）說：這標志著 Kinsing 首次主動尋求收集此類信息。

這一最新進展表明，他們的行動范圍有可能擴大，預示著Kinsing的行動在不久的將來可能會多樣化，從而對云原生環(huán)境構成更大的威脅。

參考鏈接：https://thehackernews.com/2023/11/kinsing-actors-exploit-linux-flaw-to.html