Un actor de amenințare folosește o unealtă de cartografiere a rețelei open-source numită SSH-Snake pentru a căuta chei private nedetectate și a se deplasa lateral în infrastructura victimei.
SSH-Snake a fost descoperit de echipa de cercetare a amenințărilor Sysdig (TRT), care o descriu ca fiind un „vierme auto-modificator” care se deosebește de viermii SSH tradiționali evitând tiparele asociate în mod obișnuit cu atacurile scriptate.
Viermele caută chei private în diverse locații, inclusiv în fișierele de istoric shell, și le folosește pentru a se răspândi fără să fie detectat către noi sisteme după cartografierea rețelei.
SSH-Snake este disponibil ca o resursă open-source pentru traversarea automată a rețelei bazate pe SSH, care poate porni de la un sistem și poate arăta relația cu alte gazde conectate prin SSH.
Cu toate acestea, cercetătorii de la Sysdig, o companie de securitate în cloud, spun că SSH-Snake duce conceptul obișnuit de mișcare laterală la un nou nivel deoarece este mai riguros în căutarea cheilor private.
Lansat la 4 ianuarie 2024, SSH-Snake este un script bash shell însărcinat cu căutarea autonomă a unui sistem compromis pentru acreditive SSH și utilizarea lor pentru propagare.
Cercetătorii spun că o particularitate a SSH-Snake este capacitatea sa de a se modifica și de a deveni mai mic atunci când rulează pentru prima dată. Face acest lucru eliminând comentariile, funcțiile inutile și spațiile albe din codul său.
Proiectat pentru versatilitate, SSH-Snake este plug-and-play, dar permite personalizarea pentru nevoile operaționale specifice, inclusiv adaptarea strategiilor pentru descoperirea cheilor private și identificarea potențialului lor de utilizare.
SSH-Snake folosește diverse metode directe și indirecte pentru a descoperi chei private pe sistemele compromise, inclusiv:
Analiștii Sysdig au confirmat starea operațională a SSH-Snake după descoperirea unui server de comandă și control (C2) folosit de operatorii săi pentru a stoca datele colectate de vierme, inclusiv acreditive și adrese IP ale victimelor.
Aceste date arată semne de exploatare activă a vulnerabilităților cunoscute ale Confluence (și posibil a altor defecte) pentru accesul inițial, ceea ce duce la implementarea viermelui pe aceste puncte terminale.
Potrivit cercetătorilor, această unealtă a fost folosită în mod ofensiv pe aproximativ 100 de victime.
Sysdig vede SSH-Snake ca „un pas evolutiv” în ceea ce privește malware-ul, deoarece vizează o metodă de conexiune sigură utilizată pe scară largă în mediile corporative.