Un nouvel acteur de la menace connu sous le nom de CRYSTALRAY a considérablement élargi son champ de ciblage avec de nouvelles tactiques et exploits, comptant désormais plus de 1 500 victimes dont les identifiants ont été volés et les mineurs de cryptomonnaies déployés.

Cela est rapporté par des chercheurs de Sysdig, qui ont suivi l’auteur de la menace depuis février, date à laquelle ils ont signalé pour la première fois leur utilisation du ver open source SSH-Snake pour se propager latéralement sur les réseaux piratés.

SSH-snake est un ver open source qui vole des clés privées SSH sur des serveurs compromis et les utilise pour se déplacer latéralement vers d’autres serveurs tout en déposant des charges utiles supplémentaires sur les systèmes piratés.

Auparavant, Sysdig avait identifié environ 100 victimes CRYSTALRAY touchées par les attaques SSH-Snake et mis en évidence les capacités de l’outil de cartographie du réseau à voler des clés privées et à faciliter les mouvements latéraux furtifs du réseau.

Mordre plus fort
Sysdig rapporte que l’acteur menaçant à l’origine de ces attaques, désormais connu sous le nom de CRYSTALRAY, a considérablement intensifié ses opérations, comptant 1 500 victimes.

« Les dernières observations de l’équipe montrent que les opérations de CRYSTALRAY ont été multipliées par 10 pour atteindre plus de 1 500 victimes et incluent désormais une analyse de masse, l’exploitation de multiples vulnérabilités et le placement de portes dérobées à l’aide de plusieurs outils de sécurité OSS », lit-on dans le rapport de Sysdig.

« Les motivations de CRYSTALRAY sont de collecter et de vendre des informations d’identification, de déployer des cryptomineurs et de maintenir la persistance dans les environnements victimes. Certains des outils OSS que l’auteur de la menace exploite incluent zmap, asn, httpx, nuclei, platypus et SSH-Snake. »

Vue d’ensemble des attaques de RAYONS CRISTALLINS

Sysdig explique que CRYSTALRAY utilise des exploits de preuve de concept (PoC) modifiés livrés aux cibles à l’aide de la boîte à outils de post-exploitation Sliver, fournissant un autre exemple d’utilisation abusive des outils open source.

Avant de lancer les exploits, les attaquants effectuent des vérifications approfondies pour confirmer les failles découvertes grâce aux noyaux.

Les vulnérabilités ciblées par CRYSTAL RAY dans ses opérations actuelles sont:

  • CVE-2022-44877: Faille d’exécution de commandes arbitraires dans le panneau de configuration Web (CWP)
  • CVE-2021-3129: Bug d’exécution de code arbitraire affectant Ignition (Laravel).
  • CVE-2019-18394: Vulnérabilité de falsification de requêtes côté serveur (CSRF) dans Ignite Realtime Openfire

Sysdig indique que les produits Atlassian Confluence sont probablement également ciblés, en fonction des modèles d’exploitation observés qui émergent des tentatives contre 1 800 adresses IP, dont un tiers se trouvent aux États-Unis.

CRYSTAL RAY utilise le gestionnaire Web Platypus pour gérer plusieurs sessions shell inversées sur les systèmes violés. Dans le même temps, SSH-Snake continue d’être le principal outil permettant la propagation à travers des réseaux compromis.

SSH-Snake récupère les clés SSH

Une fois les clés SSH récupérées, le ver SSH-Snake les utilise pour se connecter à de nouveaux systèmes, se copier et répéter le processus sur les nouveaux hôtes.

SSH-Snake non seulement propage l’infection, mais renvoie également les clés capturées et les historiques de bash au serveur de commande et de contrôle (C2) de CRYSTAL RAY, offrant des options pour une plus grande polyvalence d’attaque.

SSH-Propagation des serpents

Monétiser les données volées
CRYSTAL RAY vise à voler les informations d’identification stockées dans les fichiers de configuration et les variables d’environnement à l’aide de scripts qui automatisent le processus.

Les auteurs de menaces peuvent vendre des informations d’identification volées pour des services cloud, des plates-formes de messagerie ou d’autres outils SaaS sur le Dark Web ou Telegram pour un bon profit.

De plus, CRYSTALRAY déploie des mineurs de cryptographie sur les systèmes piratés pour générer des revenus en détournant la puissance de traitement de l’hôte, un script tuant tous les mineurs de cryptographie existants pour maximiser les profits.

Activité minière associée aux opérations CRYSTALRAY

Sysdig a suivi certains travailleurs miniers vers un pool spécifique et a découvert qu’ils gagnaient environ 200/ / mois.

Cependant, à partir d’avril, CRYSTALRAY est passé à une nouvelle configuration, ce qui a rendu impossible la détermination de ses revenus actuels.

À mesure que la menace CRYSTALRAY se développe, la meilleure stratégie d’atténuation consiste à minimiser la surface d’attaque grâce à des mises à jour de sécurité opportunes pour corriger les vulnérabilités au fur et à mesure qu’elles sont divulguées.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *