Ένας νέος κακόβουλος παράγοντας γνωστός ως CRYSTALRAY, έχει διευρύνει σημαντικά το εύρος στόχευσής του με νέες τακτικές, μετρώντας πλέον πάνω από 1.500 θύματα των οποίων τα διαπιστευτήρια κλάπηκαν και χρησιμοποιήθηκαν cryptominers.

Δείτε επίσης: Ιαπωνία: Επιθέσεις από τους hackers Kimsuky

Αυτό αναφέρεται από ερευνητές στη Sysdig, οι οποίοι έχουν παρακολουθήσει τον παράγοντα απειλής από τον Φεβρουάριο, όταν ανέφεραν για πρώτη φορά τη χρήση του SSH-Snake, που χρησιμοποιεί για να εξαπλωθεί πλευρικά σε δίκτυα που έχουν παραβιαστεί.

Το SSH-snake είναι ένα open-source worm που κλέβει τα ιδιωτικά κλειδιά SSH σε διακομιστές που έχουν παραβιαστεί και τα χρησιμοποιεί για να μετακινηθεί πλευρικά σε άλλους διακομιστές, ενώ ρίχνει επιπλέον ωφέλιμα φορτία σε συστήματα που έχουν παραβιαστεί.

Προηγουμένως, η Sysdig εντόπισε περίπου 100 θύματα του CRYSTALRAY που επηρεάστηκαν από τις επιθέσεις SSH-Snake και τόνισε τις δυνατότητες του εργαλείου χαρτογράφησης δικτύου, να κλέβει ιδιωτικά κλειδιά και να διευκολύνει την κρυφή πλευρική κίνηση στο δίκτυο.

Η Sysdig αναφέρει ότι ο παράγοντας απειλής πίσω από αυτές τις επιθέσεις, έχει κλιμακώσει σημαντικά τις δραστηριότητές τους, μετρώντας 1.500 θύματα.

Ο Sysdig λέει ότι ο CRYSTALRAY χρησιμοποιεί τροποποιημένες εκμεταλλεύσεις PoC που παρέχονται σε στόχους χρησιμοποιώντας το κιτ εργαλείων μετά την εκμετάλλευση Sliver, παρέχοντας ένα άλλο παράδειγμα κακής χρήσης εργαλείων ανοιχτού κώδικα.

Πριν ξεκινήσουν τα exploits, οι επιτιθέμενοι διενεργούν διεξοδικούς ελέγχους για να επιβεβαιώσουν τα ελαττώματα που ανακαλύφθηκαν μέσω των πυρήνων.

Δείτε ακόμα: Hackers λένε ότι παραβίασαν βάση δεδομένων της KFC

Τα τρωτά σημεία που στοχεύει ο CRYSTALRAY στις τρέχουσες λειτουργίες του είναι:

  • CVE-2022-44877: Σφάλμα εκτέλεσης αυθαίρετης εντολής στον Πίνακα Ελέγχου Ιστού (CWP)
  • CVE-2021-3129: Σφάλμα εκτέλεσης αυθαίρετου κώδικα που επηρεάζει την ανάφλεξη (Laravel).
  • CVE-2019-18394: Ευπάθεια πλαστογράφησης αιτημάτων από πλευράς διακομιστή (SSRF) στο Ignite Realtime Openfire

Η Sysdig λέει ότι τα προϊόντα Atlassian Confluence

πιθανότατα στοχεύονται επίσης, με βάση τα παρατηρούμενα πρότυπα εκμετάλλευσης.

Ο CRYSTALRAY χρησιμοποιεί τον διαδικτυακό διαχειριστή Platypus για να χειριστεί πολλαπλές περιόδους λειτουργίας reverse shell στα συστήματα που έχουν παραβιαστεί. Ταυτόχρονα, το SSH-Snake συνεχίζει να είναι το κύριο εργαλείο με το οποίο επιτυγχάνεται η διάδοση μέσω δικτύων.

Μόλις ανακτηθούν τα κλειδιά SSH, ο ιός τύπου worm SSH-Snake τα χρησιμοποιεί για να συνδεθεί σε νέα συστήματα, να αντιγράψει τον εαυτό του και να επαναλάβει τη διαδικασία στους νέους κεντρικούς υπολογιστές.

Το SSH-Snake όχι μόνο εξαπλώνει τη μόλυνση, αλλά στέλνει επίσης κλειδιά και ιστορικά bash πίσω στον διακομιστή εντολών και ελέγχου (C2) του CRYSTALRAY, παρέχοντας επιλογές για μεγαλύτερη ευελιξία επίθεσης.

Δείτε επίσης: Modern Events Calendar – WordPress: Hackers στοχεύουν ευπάθεια

Τα παραβιασμένα συστήματα αποτελούν σημαντική απειλή για την ακεραιότητα και την ασφάλεια των δεδομένων ενός οργανισμού. Όταν ένα σύστημα παραβιάζεται, μη εξουσιοδοτημένες οντότητες μπορούν να αποκτήσουν πρόσβαση σε ευαίσθητες πληροφορίες, οδηγώντας ενδεχομένως σε κλοπή δεδομένων, οικονομική απώλεια και ζημιά στη φήμη. Ο έγκαιρος εντοπισμός και η απόκριση είναι ζωτικής σημασίας για τον μετριασμό των επιπτώσεων τέτοιων παραβιάσεων και η εφαρμογή ισχυρών μέτρων ασφαλείας, όπως η κρυπτογράφηση και ο έλεγχος ταυτότητας πολλαπλών παραγόντων, μπορούν να βοηθήσουν στην προστασία από μελλοντικές επιθέσεις.

Πηγή: bleepingcomputer