Операторы малвари Kinsing атакуют облачные среды с системами, уязвимыми перед свежей проблемой Looney Tunables. Напомним, что эта уязвимость отслеживается как CVE-2023-4911 и позволяет локальному злоумышленнику получить root-привилегии в системе.
Уязвимость, обнаруженная в октябре специалистами компании Qualys, связана с переполнением буфера и возникает при обработке переменной среды GLIBC_TUNABLES в стандартных установках Debian 12 и 13, Ubuntu 22.04 и 23.04, а также Fedora 37 и 38. В результате эксплуатации бага злоумышленник может добиться выполнения произвольного кода с правами root при запуске двоичных файлов с правами SUID.
Вскоре после выхода отчета Qualys, сразу несколько исследователей опубликовали PoC-эксплоиты для этой проблемы. При этом сами специалисты Qualys писали, что не публикуют proof-of-concept умышленно, так как это может «подвергнуть риску огромное количество систем, учитывая широкое использование glibc в дистрибутивах Linux».
К сожалению, опасения экспертов были не напрасны. Как теперь сообщили аналитики из компании Aqua Nautilus, эксплуатировать CVE-2023-4911 уже начали операторы вредоноса Kinsing, используя уязвимость для повышения привилегий в уже взломанных системах.
Kinsing известна тем, что взламывает облачные системы и приложения (например, Kubernetes, Docker APIs, Redis и Jenkins) для развертывания криптовалютных майнеров. Так, недавно в Microsoft предупреждали, что группировка атакует кластеры Kubernetes через неправильно сконфигурированные контейнеры PostgreSQL.
Эксперты из Aqua Nautilus сообщают, что теперь атаки Kinsing начинаются с использования известной уязвимости во фреймворке PHPUnit (CVE-2017-9841), что дает злоумышленникам возможности для выполнения кода, а затем проблема Looney Tunables используется для повышения привилегий.
![](https://xakep.ru/wp-content/uploads/2023/11/441266/php-exploit.jpg)
При этом исследователи отмечают, что пока хакеры проводят атаки на Looney Tunables вручную, вероятно, стремясь убедиться, что все работает как должно перед созданием скриптов для автоматизации этих задач.
Эксплуатация уязвимости в PHPUnit приводит к открытию на скомпрометированной системе реверс-шелла через порт 1337, который операторы Kinsing используют для выполнения разведывательных операций.
Затем злоумышленники загружают в систему скрипт gnu-acme.py, который использует проблему CVE-2023-4911 для повышения привилегий. Причем эксплоит для Looney Tunables атакующие взяли непосредственно из репозитория ИБ-исследователя, ранее опубликовавшего PoC для этого бага. Эксперт уже пообещал пресечь эту вредоносную активность, заменив прямую ссылку.
После этого злоумышленники загружают в систему PHP-скрипт, который развертывает веб-шелл бэкдор, написанный на JavaScript (wesobase.js). Он позволяет хакерам выполнять команды, действия по управлению файлами, собирать информацию о сети и сервере, а также осуществлять шифрование и дешифрование.
Примечательно, что в рамках этой кампании операторы Kinsing в основном интересовались учетным данным поставщиков облачных услуг, в частности искали доступу к идентификационным данным инстансов AWS. Эксперты Aqua Nautilus подчеркивают, что это заметная смена тактики в сторону более сложных и вредоносных действий. По их мнению, данная кампания стала экспериментом для хакеров, поскольку группировка использовала нехарактерные для нее методы и расширила свои атаки до сбора учетных данных.
![](https://xakep.ru/wp-content/uploads/2023/11/441266/collect-aws.jpg)
«Раньше [Kinsing] в основном занимались распространением своих вредоносных программ и криптомайнеров, часто пытаясь увеличить свои шансы на успех за счет устранения конкурентов или уклонения от обнаружения. Однако новая кампания показывает, что Kinsing, возможно, планирует в скором времени заняться более разнообразной и насыщенной деятельностью, что может означать увеличение рисков для систем и сервисов, работающих в облаке», — заключают исследователи.