Un nou actor de amenințare cunoscut sub numele de CRYSTALRAY și-a extins semnificativ domeniul de acțiune cu noi tactici și exploatare, numărând acum peste 1.500 de victime ale căror credențiale au fost furate și au fost implementați mineri de criptomonede.
Aceste informații sunt raportate de cercetătorii de la Sysdig, care au urmărit actorul de amenințare începând cu luna februarie, când au raportat pentru prima dată utilizarea viermei open-source SSH-Snake pentru a se răspândi lateral în rețelele compromise.
SSH-Snake este un vierme open-source care fură cheile private SSH de pe serverele compromise și le folosește pentru a se deplasa lateral către alte servere, lăsând în același timp alte încărcături pe sistemele compromise.
Anterior, Sysdig a identificat aproximativ 100 de victime CRYSTALRAY afectate de atacurile SSH-Snake și a evidențiat capacitățile instrumentului de mapare a rețelei de a fura cheile private și de a facilita mișcarea laterală stealthy în rețea.
Sysdig raportează că actorul de amenințare din spatele acestor atacuri, acum urmărit sub numele de CRYSTALRAY, și-a extins semnificativ operațiunile, numărând 1.500 de victime.
„Ultimele observații ale echipei arată că operațiunile CRYSTALRAY s-au extins de 10 ori la peste 1.500 de victime și includ acum scanări masive, exploatarea mai multor vulnerabilități și plasarea backdoor-urilor folosind mai multe unelte de securitate OSS,” se arată în raportul Sysdig.
„Motivațiile CRYSTALRAY sunt să colecteze și să vândă credențiale, să implementeze mineri de criptomonede și să mențină persistența în mediile victimelor. Unele dintre uneltele OSS pe care le folosește actorul de amenințare includ zmap, asn, httpx, nuclei, platypus și SSH-Snake.”
Sysdig spune că CRYSTALRAY folosește exploatații modificate de concept (PoC) livrate către ținte folosind kitul post-exploitation Sliver, oferind un alt exemplu de utilizare abuzivă a uneltelor open-source.
Înainte de lansarea exploatațiilor, atacatorii efectuează verificări amănunțite pentru a confirma problemele descoperite prin nuclei.
Vulnerabilitățile vizate de CRYSTALRAY în operațiunile sale actuale sunt:
Sysdig spune că produsele Atlassian Confluence sunt probabil și ele vizate, pe baza modelelor de exploatare observate care rezultă din încercările împotriva a 1.800 de IP-uri, unul din trei fiind în SUA.
CRYSTALRAY folosește managerul web Platypus pentru a gestiona mai multe sesiuni de shell reverse pe sistemele compromise. În același timp, SSH-Snake continuă să fie uneltele principale prin care se realizează propagarea prin rețelele compromise.
Odată ce cheile SSH sunt obținute, viermele SSH-Snake le folosește pentru a se conecta la sisteme noi, a se copia și a repeta procesul pe noile gazde.
SSH-Snake nu numai că răspândește infecția, dar trimite și cheile capturate și istoricul bash înapoi la serverul de control și comandă (C2) al CRYSTALRAY, oferind opțiuni pentru o mai mare versatilitate a atacurilor.
CRYSTALRAY își propune să fure credențiale stocate în fișierele de configurare și variabilele de mediu folosind scripturi care automatizează procesul.
Actorii de amenințare pot vinde credențialele furate pentru servicii cloud, platforme de email sau alte unelte SaaS pe dark web sau Telegram pentru un profit bun.
În plus, CRYSTALRAY implementează mineri de criptomonede pe sistemele compromise pentru a genera venituri prin preluarea puterii de procesare a gazdei, cu un script care oprește orice mineri de criptomonede existenți pentru a maximiza profitul.
Sysdig a urmărit unii mineri de criptomonede către un pool specific și a descoperit că făceau aproximativ 200 de dolari pe lună.
Cu toate acestea, începând cu luna aprilie, CRYSTALRAY a trecut la o nouă configurație, făcând imposibilă determinarea veniturilor sale actuale.
Pe măsură ce amenințarea CRYSTALRAY crește, cea mai bună strategie de mitigare este de a minimiza suprafața de atac printr-o actualizare rapidă a securității pentru a remedia vulnerabilitățile pe măsură ce acestea sunt dezvăluite.
Noul toolkit de phishing folosește PWAs pentru a fura credențialele de autentificare
Leave a Reply