Una exitosa herramienta: SSH-Snake

Iniciado por AXCESS, Julio 12, 2024, 03:33:16 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Julio 12, 2024, 03:33:16 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Un nuevo actor de amenazas conocido como CRYSTALRAY ha ampliado significativamente su alcance con nuevas tácticas y exploits, y ahora cuenta con más de 1.500 víctimas cuyas credenciales fueron robadas y desplegaron criptomineros.

Esto lo informan investigadores de Sysdig, que han rastreado al actor de amenazas desde febrero, cuando informaron por primera vez sobre el uso del gusano de código abierto SSH-Snake para propagarse lateralmente en redes violadas.

SSH-snake es un gusano de código abierto que roba claves privadas SSH en servidores comprometidos y las utiliza para moverse lateralmente a otros servidores mientras descarga cargas útiles adicionales en los sistemas vulnerados.

Anteriormente, Sysdig identificó aproximadamente 100 víctimas de CRYSTALRAY afectadas por los ataques SSH-Snake y destacó las capacidades de la herramienta de mapeo de red para robar claves privadas y facilitar el movimiento lateral sigiloso de la red.

Mordiendo más fuerte

Sysdig informa que el actor de amenazas detrás de estos ataques, ahora rastreado como CRYSTALRAY, ha ampliado significativamente sus operaciones, contando 1.500 víctimas.

"Las últimas observaciones del equipo muestran que las operaciones de CRYSTALRAY se han multiplicado por 10 hasta alcanzar más de 1.500 víctimas y ahora incluyen escaneo masivo, explotación de múltiples vulnerabilidades y colocación de puertas traseras utilizando múltiples herramientas de seguridad OSS", se lee en el informe de Sysdig.

"Las motivaciones de CRYSTALRAY son recopilar y vender credenciales, implementar criptomineros y mantener la persistencia en los entornos de las víctimas. Algunas de las herramientas OSS que el actor de amenazas está aprovechando incluyen zmap, asn, httpx, nuclei, platypus y SSH-Snake".

Descripción general de los ataques CRYSTALRAY
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Sysdig dice que CRYSTALRAY utiliza exploits de prueba de concepto (PoC) modificados entregados a los objetivos utilizando el kit de herramientas de post-explotación Sliver, lo que proporciona otro ejemplo de uso indebido de herramientas de código abierto.

Antes de lanzar los exploits, los atacantes realizan comprobaciones exhaustivas para confirmar los fallos descubiertos en los núcleos.

Las vulnerabilidades a las que se enfrenta CRYSTALRAY en sus operaciones actuales son:

 CVE-2022-44877: Fallo en la ejecución de comandos arbitrarios en Control Web Panel (CWP)

 CVE-2021-3129: Error de ejecución de código arbitrario que afecta a Ignition (Laravel).

 CVE-2019-18394: Vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en Ignite Realtime Openfire

Sysdig dice que los productos Atlassian Confluence probablemente también sean un objetivo, basándose en los patrones de explotación observados que surgen de los intentos contra 1.800 IP, un tercio de las cuales se encuentran en los EE. UU.

CRYSTALRAY utiliza el administrador basado en web Platypus para manejar múltiples sesiones de shell inverso en los sistemas violados. Al mismo tiempo, SSH-Snake sigue siendo la principal herramienta mediante la cual se logra la propagación a través de redes comprometidas.

SSH-Snake recuperando claves SSH
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una vez que se recuperan las claves SSH, el gusano SSH-Snake las utiliza para iniciar sesión en nuevos sistemas, copiarse y repetir el proceso en los nuevos hosts.

SSH-Snake no solo propaga la infección, sino que también envía claves capturadas e historiales de bash al servidor de comando y control (C2) de CRYSTALRAY, brindando opciones para una mayor versatilidad de ataque.

Propagación SSH-Snake
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Monetizar datos robados

CRYSTALRAY tiene como objetivo robar credenciales almacenadas en archivos de configuración y variables de entorno mediante scripts que automatizan el proceso.

Los actores de amenazas pueden vender credenciales robadas para servicios en la nube, plataformas de correo electrónico u otras herramientas SaaS en la dark web o Telegram para obtener buenas ganancias.

Además, CRYSTALRAY implementa criptomineros en los sistemas violados para generar ingresos secuestrando la potencia de procesamiento del host, con un script que mata a los criptomineros existentes para maximizar las ganancias.

Sysdig rastreó a algunos mineros hasta un grupo específico y descubrió que ganaban aproximadamente $200 al mes.

Sin embargo, a partir de abril, CRYSTALRAY cambió a una nueva configuración, lo que hizo imposible determinar sus ingresos actuales.

A medida que crece la amenaza CRYSTALRAY, la mejor estrategia de mitigación es minimizar la superficie de ataque mediante actualizaciones de seguridad oportunas para corregir las vulnerabilidades a medida que se revelan.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario