行業新聞與博客

Sysdig 威脅研究團隊 (TRT) 揭示了 SSH-Snake 威脅行為者活動的重大進展。 

該組織現被稱為 CRYSTALRAY，其活動範圍顯著擴大，受害者數量增加了十倍，達到 1500 多人。 

根據 Sysdig 上週發佈的新公告，CRYSTALRAY 使用各種開源安全工具來掃描漏洞、部署後門並維持對受感染環境的持續訪問。

該蠕蟲最初利用 SSH-Snake 開源軟件來針對 Confluence 漏洞進行攻擊。 

採用先進的工具和技術

CRYSTALRAY 於 2024 年 1 月發佈，使用發現的 SSH 憑據進行自我修改和傳播，與傳統 SSH 蠕蟲相比，其隱蔽性和效率更高。其當前的操作包括使用 nmap、asn、HTTPS、nuclei 和 Platypus 等工具進行大規模掃描和利用多個漏洞。

該組織的主要目標是收集和出售憑證、部署加密礦工並確保持續訪問受感染的系統。 

他們的掃描技術非常先進。例如，他們使用 ASN 工具為特定國家 / 地區生成 IP 範圍，從而實現精準定位。美國和中國佔其目標的一半以上。CRYSTALRAY 使用 nmap 進行快速網絡掃描，然後使用 HTTPS 驗證域狀態並使用 nuclei 進行全面的漏洞檢查。

CRYSTALRAY 的利用階段涉及修改公開的概念驗證 (POC) 漏洞以包含其有效載荷，通常部署 Platypus 或 Sliver 客户端進行持續控制。 

他們的策略包括利用 SSH-Snake 捕獲 SSH 密鑰和命令歷史記錄並將其發送到他們的命令和控制 (C2) 服務器。這種方法不僅有助於在網絡內進行橫向移動，還使攻擊者能夠從環境變量和歷史文件中提取有價值的憑據。

攻擊者還利用 Platypus 儀表板來管理多個反向 shell 會話，根據活動活動，受害者數量在 100 到 400 之間波動。 

Sysdig 威脅研究高級總監 Michael Clark 表示：“CRYSTALRAY 與我們追蹤的大多數威脅行為者不同，他們只使用開源滲透測試工具。這使他們能夠擴大行動規模，並且正如我們所看到的，他們入侵的系統數量迅速增加。使用 SSH-SNAKE 還使他們能夠比普通攻擊者更深入受感染的網絡，從而訪問更多系統和數據。系統和數據越多，利潤就越大。”

除了出售被盜憑證外，CRYSTALRAY 還參與了加密貨幣挖礦活動，每月從受害者資源中賺取約 200 美元。他們還使用腳本來消除受感染系統上的競爭加密貨幣挖礦程序，確保資源的獨佔使用。