Новости Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Злоумышленники изменили своей привычной тактике и стали ещё опаснее.


4ixvn2kgak3wvddp7ki75sz5n0hg7zh4.jpg


Злоумышленники, связанные с криптоджекинговой группой Kinsing , начали активно использовать Для просмотра ссылки Войди или Зарегистрируйся уязвимость в Linux , известную как Looney Tunables ( Для просмотра ссылки Войди или Зарегистрируйся ), для осуществления атак с целью проникновения в облачные среды. Об этом Для просмотра ссылки Войди или Зарегистрируйся компания по безопасности облачных технологий AquaSec .

Анализ исследователей знаменует собой первый публично задокументированный случай активного использования Looney Tunables, который позволил злоумышленнику получить права суперпользователя в целевой среде.

Новая кампания характеризуется использованием старой уязвимости в PHPUnit ( Для просмотра ссылки Войди или Зарегистрируйся ), позволяющей выполнять произвольный код. Этот подход в Kinsing применяли для получения первичного доступа к различным системам по крайней мере с 2021 года.

В рамках последних атак злоумышленники использовали PoC - эксплойт на Python , Для просмотра ссылки Войди или Зарегистрируйся исследователем под псевдонимом bl4sty 5-го октября. После этого хакеры Kinsing запустили дополнительный PHP -эксплойт, который, как выяснилось после деобфускации, представлял из себя JavaScript , предназначенный для дальнейшей эксплуатации.

Данный JavaScript-код выполнял функции веб-оболочки, предоставляя злоумышленникам возможности для управления файлами, выполнения команд и сбора информации об устройстве.

Основная цель атаки — извлечение учётных данных провайдера облачных услуг для последующих действий. Подобная цель отходит от обычной практики группы Kinsing, заключавшейся в развёртывании вредоносного ПО и запуске майнеров криптовалют.

Однако исследователи отмечают, что это свидетельствует о потенциальном расширении операционных масштабов группировки и может указывать на то, что в ближайшем будущем их действия могут стать более разнообразными и интенсивными, увеличивая угрозу для облачных сред.
 
Источник новости
www.securitylab.ru

Похожие темы