Linux 出现新漏洞，正被Kinsing Actor 利用入侵云环境

据观察，与 Kinsing 相关的威胁行为者试图利用最近披露的名为 Looney Tunables 的 Linux 权限升级漏洞，作为旨在破坏云环境的“新实验活动”的一部分。

“有趣的是，攻击者还通过从云服务提供商（CSP）中提取凭据来扩大其云原生攻击的视野，”云安全公司Aqua在与The Hacker News分享的一份报告中表示。

该开发标志着第一个公开记录的主动利用 Looney Tunables （CVE-2023-4911） 的实例，这可能允许威胁参与者获得 root 权限。

Kinsing 攻击者在机会主义和迅速调整其攻击链以利用新披露的安全漏洞为自己谋利方面有着良好的记录，最近将 Openfire 中的一个高严重性漏洞 （CVE-2023-32315） 武器化以实现远程代码执行。

最新的一组攻击需要利用 PHPUnit 中的关键远程代码执行缺陷 （CVE-2017-9841），这是加密劫持组织至少自 2021 年以来已知采用的一种策略，以获得初始访问权限。

接下来，使用基于 Python 的漏洞利用手动探测 Looney Tunables 的受害者环境，该漏洞由一位在 X（前身为 Twitter）上别名为 bl4sty 的研究人员发布。

“随后，Kinsing 获取并执行了一个额外的 PHP 漏洞，”Aqua 说。“最初，漏洞利用被掩盖了;然而，在去混淆后，它表明自己是一个为进一步的剥削活动而设计的 JavaScript。

就其本身而言，JavaScript 代码是一个 Web shell，它授予对服务器的后门访问权限，使攻击者能够执行文件管理、命令执行并收集有关运行它的计算机的更多信息。

攻击的最终目标似乎是提取与云服务提供商相关的凭据以进行后续操作，这是威胁参与者的 de 模式的重大战术转变。利用 Kinsing 恶意软件并启动加密货币矿工。