Группировка CrystalRay, которая в феврале 2024 года использовала для атак опенсорсного червя SSH-Snake, расширила сферу своей активности за счет новых тактик и эксплоитов. Теперь на счету хакеров уже более 1500 жертв, у которых украли учетные данные и заразили криптомайнерами.

Напомним, что SSH-Snake представляет собой опенсорсный инструмент, который используется для незаметного поиска приватных ключей, бокового перемещения по инфраструктуре жертвы и доставки дополнительных полезных нагрузок во взломанные системы.

Впервые его обнаружили в феврале текущего года исследователи из компании Sysdig, которые описывали SSH-Snake как «самомодифицирующегося червя», который использует учетные данные SSH, обнаруженные в скомпрометированной системе, чтобы начать распространяться по сети. Также отмечалось, что он отличается от обычных SSH-червей, избегает паттернов, типичных для скриптовых атак, и выводит обычное боковое перемещение по сети на новый уровень, поскольку более тщательно подходит к поиску приватных ключей.

После получения SSH-ключей червь использует их для входа в новые системы, а затем копирует себя и повторяет процесс на новых хостах.

В начале года исследователи сообщали, что им известно примерно о 100 жертвах, пострадавших от SSH-Snake. Но теперь в Sysdig предупредили, что стоящие за этими атаками злоумышленники, получившие имя CrystalRay, значительно расширили масштабы своих операций, и в числе пострадавших числятся уже более 1500 организаций.

«Последние наблюдения показывают, что операции CrystalRay масштабировались в 10 раз, достигнув более 1500 жертв, и теперь включают массовое сканирование, использование множества уязвимостей и установку бэкдоров с помощью различных инструментов OSS», — пишут эксперты.

По данным исследователей, основным мотивом CrystalRay является сбор и последующая продажа учетных данных, развертывание криптовалютных майнеров (при этом скрипт уничтожает все конкурирующие майнеры для получения максимальной прибыли) и надежное закрепление в сети жертвы.

Ранее специалисты Sysdig отследили некоторые майнеры до определенного пула и обнаружили, что хакеры зарабатывают примерно 200 долларов в месяц. Однако с апреля 2024 года злоумышленники перешли на новую конфигурацию, поэтому определить их текущий доход теперь невозможно.

Среди инструментов, которые группировка применяет помимо SSH-Snake, перечисляются  zmap, asn, httpx, nuclei и platypus. При этом SSH-Snake все еще остается основным инструментом хакеров, с помощью которого они осуществляют продвижение по взломанным сетям.

Также CrystalRay применяет модифицированные PoC-эксплоиты для различных уязвимостей, которые доставляют жертвам с помощью фреймворка Sliver.

Перед запуском эксплоитов злоумышленники проводят тщательную проверку, чтобы подтвердить наличие уязвимостей, обнаруженных с помощью nuclei. В частности, хакеры эксплуатируют следующие уязвимости:

  • CVE-2022-44877 — уязвимость произвольного выполнения команд в Control Web Panel (CWP)
  • CVE-2021-3129 — уязвимость произвольного выполнения кода в Ignition (Laravel);
  • CVE-2019-18394 — SSRF-уязвимость в Ignite Realtime Openfire.

По мнению исследователей, продукты Atlassian Confluence, вероятно, тоже являются мишенью этих злоумышленников. К такому выводу исследователи пришли, наблюдая за паттернами эксплуатации, которые удалось выявить после изучения множества попыток взлома, исходивших с 1800 различных IP-адресов.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии