Sysdig 威胁研究团队 (TRT) 揭示了 SSH-Snake 威胁参与者活动的重大发展。
该组织现在被称为CRYSTALRAY,显着扩大了其业务,其受害者人数增加了十倍,达到1500多人。
根据 Sysdig 上周发布的一份新公告,已经观察到 CRYSTALRAY 使用各种开源安全工具来扫描漏洞、部署后门并保持对受感染环境的持续访问。
该蠕虫最初在针对 Confluence 漏洞的活动中利用 SSH-Snake 开源软件。
使用复杂的工具和技术
CRYSTALRAY 于 2024 年 1 月发布,使用发现的 SSH 凭据进行自我修改和传播,与传统的 SSH 蠕虫相比,具有更强的隐身性和效率。它目前的操作包括使用nmap、asn、HTTPS、nuclei和鸭嘴兽等工具进行大规模扫描和利用多个漏洞。
该组织的主要目标是收集和出售凭证,部署加密矿工并确保持续访问受感染的系统。
他们的扫描技术非常复杂。例如,他们使用 ASN 工具为特定国家/地区生成 IP 范围,从而实现精确定位。美国和中国占其目标的一半以上。CRYSTALRAY使用nmap进行快速网络扫描,然后使用HTTPS验证域状态和核心进行全面的漏洞检查。
CRYSTALRAY 的利用阶段涉及修改公开可用的概念验证 (POC) 漏洞以包含其有效载荷,通常部署鸭嘴兽或银子客户端进行持久控制。
他们的策略包括利用 SSH-Snake 捕获 SSH 密钥和命令历史记录并将其发送到他们的命令和控制 (C2) 服务器。这种方法不仅促进了网络内的横向移动,还使攻击者能够从环境变量和历史文件中提取有价值的凭据。
攻击者还利用鸭嘴兽仪表板来管理多个反向外壳会话,根据活动活动,受害者人数在 100 到 400 之间波动。
“CRYSTALRAY与我们跟踪的大多数威胁行为者不同,因为他们只使用开源渗透测试工具,”Sysdig威胁研究高级总监Michael Clark说。“这使他们能够扩大业务规模,正如我们所看到的,他们迅速增加了他们入侵的系统数量。使用 SSH-SNAKE 还可以让他们比典型的攻击者更深入地进入受感染的网络,从而使他们能够访问更多的系统和数据。系统和数据越多,利润就越多。
除了出售被盗凭证外,还观察到 CRYSTALRAY 从事加密采矿业务,每月从受害者资源中产生约 200 美元。他们还使用脚本来消除受感染系统上的竞争加密矿工,确保资源的独家使用。
发表评论
您还未登录,请先登录。
登录