“有趣的是，攻击者还通过从云服务提供商（CSP）中提取凭据扩大其云原生攻击的视野，”云安全公司Aqua在与黑客新闻共享的一份报告中说。

开发标志着第一个公开记录的Looney Tunables（CVE-2023-4911）的主动利用实例，这可能会允许威胁演员获得root权限。

Kinsing有一个记录的机会契机和迅速适应他们的攻击链，利用新披露的安全漏洞，以自己的优势，最近武器化Openfire（CVE-2023-32315）中的一个高严重性的错误，以实现远程代码执行。

最新的一组攻击需要利用PHPUnit（CVE-2017-9841）中的一个关键远程代码执行缺陷，这是一种已知的至少自2021年以来由cryptojacking组采用的策略，以获得初始访问权限。

其次是手动探测Looney Tunables的受害者环境，使用一个基于Python的漏洞，该漏洞由X（以前的Twitter）上化名bl4sty的研究人员发布。

“随后，Kinsing获取并执行一个额外的PHP漏洞，”Aqua说。“一开始，这个漏洞被掩盖了；但是，在反模糊处理之后，它暴露了自己是一个为进一步的利用活动而设计的JavaScript。”

JavaScript代码，就其本身而言，是一个web shell，它授予对服务器的后门访问，使对手能够执行文件管理、命令执行，并收集关于它所运行的机器的更多信息。

这次攻击的最终目标似乎是提取与云服务提供商相关的凭据，以便采取后续行动，这是从部署Kinsing恶意软件和启动加密货币矿工的威胁行为者的模式中的一个重大战术转变。

信息安全研究员Assaf Morag说：“这标志着Kinsing首次积极寻求收集此类信息。”

“最近的事态发展表明，他们的操作范围可能扩大，这表明Kinsing操作可能在不久的将来多样化和加强，从而对云原生环境构成更大的威胁。”