行業新聞與部落格

CRYSTALRAY 使用 OSS 工具的網路攻擊數量增長十倍

Sysdig 威脅研究團隊 (TRT) 揭示了 SSH-Snake 威脅行為者活動的重大進展。 

該組織現被稱為 CRYSTALRAY,其活動範圍顯著擴大,受害者數量增加了十倍,達到 1500 多人。 

根據 Sysdig 上週釋出的新公告,CRYSTALRAY 使用各種開源安全工具來掃描漏洞、部署後門並維持對受感染環境的持續訪問。

該蠕蟲最初利用 SSH-Snake 開源軟體來針對 Confluence 漏洞進行攻擊。 

採用先進的工具和技術

CRYSTALRAY 於 2024 年 1 月釋出,使用發現的 SSH 憑據進行自我修改和傳播,與傳統 SSH 蠕蟲相比,其隱蔽性和效率更高。其當前的操作包括使用 nmap、asn、HTTPS、nuclei 和 Platypus 等工具進行大規模掃描和利用多個漏洞。

該組織的主要目標是收集和出售憑證、部署加密礦工並確保持續訪問受感染的系統。 

他們的掃描技術非常先進。例如,他們使用 ASN 工具為特定國家 / 地區生成 IP 範圍,從而實現精準定位。美國和中國佔其目標的一半以上。CRYSTALRAY 使用 nmap 進行快速網路掃描,然後使用 HTTPS 驗證域狀態並使用 nuclei 進行全面的漏洞檢查。

CRYSTALRAY 的利用階段涉及修改公開的概念驗證 (POC) 漏洞以包含其有效載荷,通常部署 Platypus 或 Sliver 客戶端進行持續控制。 

他們的策略包括利用 SSH-Snake 捕獲 SSH 金鑰和命令歷史記錄並將其傳送到他們的命令和控制 (C2) 伺服器。這種方法不僅有助於在網路內進行橫向移動,還使攻擊者能夠從環境變數和歷史檔案中提取有價值的憑據。

攻擊者還利用 Platypus 儀表板來管理多個反向 shell 會話,根據活動活動,受害者數量在 100 到 400 之間波動。 

Sysdig 威脅研究高階總監 Michael Clark 表示:“CRYSTALRAY 與我們追蹤的大多數威脅行為者不同,他們只使用開源滲透測試工具。這使他們能夠擴大行動規模,並且正如我們所看到的,他們入侵的系統數量迅速增加。使用 SSH-SNAKE 還使他們能夠比普通攻擊者更深入受感染的網路,從而訪問更多系統和資料。系統和資料越多,利潤就越大。”

除了出售被盜憑證外,CRYSTALRAY 還參與了加密貨幣挖礦活動,每月從受害者資源中賺取約 200 美元。他們還使用指令碼來消除受感染系統上的競爭加密貨幣挖礦程式,確保資源的獨佔使用。

需要幫助嗎?聯絡我們的支援團隊 線上客服