AI DevwWrld Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Middle East Low Code No Code Summit TimeAI Summit

Incursione nel cloud: il nuovo modus operandi di Kinsing

Strategie evolute di cyberattacco mirano ai servizi cloud attraverso una vulnerabilità critica

Il gruppo hacker Kinsing attacca sistemi cloud sfruttando la vulnerabilità Looney Tunables per installare software di cripto-mining e rubare credenziali.

Contribuisci a diffondere la cultura della prevenzione!
Sostieni la nostra causa con una piccola donazione aiutandoci a sensibilizzare utenti e aziende sulle minacce informatiche e sulle soluzioni di difesa.

This pill is also available in English language

Una nuova forma di attacco informatico è stata osservata nell'ambiente del cloud computing, in cui gli aggressori del gruppo noto come Kinsing, noto anche come Money Libra, sfruttano una vulnerabilità nota come Looney Tunables (CVE-2023-4911). Questo gruppo di hacker, operativo dal 2021, sta utilizzando questa vulnerabilità per installare in modo occulto software di cripto-mining in ambienti cloud-native, colpendo piattaforme come Kubernetes e altri servizi cloud.

Sfruttamento combinato di PHPUnit e Looney Tunables

La tecnica attuale impiegata da Kinsing consiste prima nell'utilizzare una vulnerabilità di esecuzione di codice a distanza (CVE-2017-9841) presente in PHPUnit per guadagnare accesso iniziale al sistema. Successivamente, i malintenzionati utilizzano la vulnerabilità Looney Tunables per ottenere privilegi di root sul sistema operativo Linux ospitante. L'allarme è stato sollevato dagli analisti di Aqua Security che hanno notato una deviazione dallo schema abituale di Kinsing, osservando test manuali anziché i loro consueti attacchi automatizzati.

Intensa attività manuale e ricerca di informazioni

Dopo essere penetrati nei sistemi, gli attaccanti hanno eseguito una serie di operazioni manuali come la raccolta di informazioni sul sistema e le credenziali degli utenti. Hanno inoltre aperto nuove sessioni di shell interattive e hanno scaricato ed eseguito script per la gestione di webshell e il sfruttamento di exploit, compreso quello per Looney Tunables. Secondo Assaf Morag, lead data analyst di Aqua Security, stiamo assistendo a un tentativo da parte di Kinsing di ricavare dettagli e credenziali legate ai provider di servizi cloud (CSP).

Verso nuove minacce nel cloud computing

Questa nuova metodologia adottata da Kinsing indica una potenziale escalation nel comportamento del gruppo. Precedentemente focalizzati su diffusione di malware e attività di cripto-mining, cercando anche di eliminare la concorrenza o di agire in modo furtivo, ora si rileva un interesse nell'approfondire l'accesso alle risorse cloud. Tale mossa suggerisce che potrebbero pianificare azioni più variegate e intense, aumentando di conseguenza il rischio per sistemi e servizi operanti nel cloud.

Seguici su Telegram per altre pillole come questa

07/11/2023 10:59

Editorial AI

Pillole complementari

Trivy di Aqua Security: scansione vulnerabilità KubernetesUna soluzione innovativa per garantire la sicurezza dei cluster Kubernetes

Ultime pillole

La tenace attività di LockBit malgrado le indagini globaliSfide e contromisure nella guerra al grupo cyber criminale LockBit

Avast sanzionata per vendita illegittima di dati webMulte e restrizioni imposte alla società di sicurezza informatica per uso scorretto di dati personali

KeyTrap: falla DNSSEC individuata da ricercatoriLa vulnerabilità mette a rischio la stabilità del DNSSEC

Patto tra aziende tecnologiche contro la manipolazione elettoraleIniziativa congiunta nel settore tecnologico per preservare l'integrità del voto democratico