Операторы малвари Kinsing атакуют облачные среды с системами, уязвимыми перед свежей проблемой Looney Tunables. Напомним, что эта уязвимость отслеживается как CVE-2023-4911 и позволяет локальному злоумышленнику получить root-привилегии в системе.
Уязвимость, обнаруженная в октябре специалистами компании Qualys, связана с переполнением буфера и возникает при обработке переменной среды GLIBC_TUNABLES в стандартных установках Debian 12 и 13, Ubuntu 22.04 и 23.04, а также Fedora 37 и 38. В результате эксплуатации бага злоумышленник может добиться выполнения произвольного кода с правами root при запуске двоичных файлов с правами SUID.
Вскоре после выхода отчета Qualys, сразу несколько исследователей опубликовали PoC-эксплоиты для этой проблемы. При этом сами специалисты Qualys писали, что не публикуют proof-of-concept умышленно, так как это может «подвергнуть риску огромное количество систем, учитывая широкое использование glibc в дистрибутивах Linux».
К сожалению, опасения экспертов были не напрасны. Как теперь сообщили аналитики из компании Aqua Nautilus, эксплуатировать CVE-2023-4911 уже начали операторы вредоноса Kinsing, используя уязвимость для повышения привилегий в уже взломанных системах.
Kinsing известна тем, что взламывает облачные системы и приложения (например, Kubernetes, Docker APIs, Redis и Jenkins) для развертывания криптовалютных майнеров. Так, недавно в Microsoft предупреждали, что группировка атакует кластеры Kubernetes через неправильно сконфигурированные контейнеры PostgreSQL.
Эксперты из Aqua Nautilus сообщают, что теперь атаки Kinsing начинаются с использования известной уязвимости во фреймворке PHPUnit (CVE-2017-9841), что дает злоумышленникам возможности для выполнения кода, а затем проблема Looney Tunables используется для повышения привилегий.
При этом исследователи отмечают, что пока хакеры проводят атаки на Looney Tunables вручную, вероятно, стремясь убедиться, что все работает как должно перед созданием скриптов для автоматизации этих задач.
Эксплуатация уязвимости в PHPUnit приводит к открытию на скомпрометированной системе реверс-шелла через порт 1337, который операторы Kinsing используют для выполнения разведывательных операций.
Затем злоумышленники загружают в систему скрипт gnu-acme.py, который использует проблему CVE-2023-4911 для повышения привилегий. Причем эксплоит для Looney Tunables атакующие взяли непосредственно из репозитория ИБ-исследователя, ранее опубликовавшего PoC для этого бага. Эксперт уже пообещал пресечь эту вредоносную активность, заменив прямую ссылку.
После этого злоумышленники загружают в систему PHP-скрипт, который развертывает веб-шелл бэкдор, написанный на JavaScript (wesobase.js). Он позволяет хакерам выполнять команды, действия по управлению файлами, собирать информацию о сети и сервере, а также осуществлять шифрование и дешифрование.
Примечательно, что в рамках этой кампании операторы Kinsing в основном интересовались учетным данным поставщиков облачных услуг, в частности искали доступу к идентификационным данным инстансов AWS. Эксперты Aqua Nautilus подчеркивают, что это заметная смена тактики в сторону более сложных и вредоносных действий. По их мнению, данная кампания стала экспериментом для хакеров, поскольку группировка использовала нехарактерные для нее методы и расширила свои атаки до сбора учетных данных.
«Раньше [Kinsing] в основном занимались распространением своих вредоносных программ и криптомайнеров, часто пытаясь увеличить свои шансы на успех за счет устранения конкурентов или уклонения от обнаружения. Однако новая кампания показывает, что Kinsing, возможно, планирует в скором времени заняться более разнообразной и насыщенной деятельностью, что может означать увеличение рисков для систем и сервисов, работающих в облаке», — заключают исследователи.
