行业新闻与博客

Sysdig 威胁研究团队 (TRT) 揭示了 SSH-Snake 威胁行为者活动的重大进展。 

该组织现被称为 CRYSTALRAY，其活动范围显著扩大，受害者数量增加了十倍，达到 1500 多人。 

根据 Sysdig 上周发布的新公告，CRYSTALRAY 使用各种开源安全工具来扫描漏洞、部署后门并维持对受感染环境的持续访问。

该蠕虫最初利用 SSH-Snake 开源软件来针对 Confluence 漏洞进行攻击。 

采用先进的工具和技术

CRYSTALRAY 于 2024 年 1 月发布，使用发现的 SSH 凭据进行自我修改和传播，与传统 SSH 蠕虫相比，其隐蔽性和效率更高。其当前的操作包括使用 nmap、asn、HTTPS、nuclei 和 Platypus 等工具进行大规模扫描和利用多个漏洞。

该组织的主要目标是收集和出售凭证、部署加密矿工并确保持续访问受感染的系统。 

他们的扫描技术非常先进。例如，他们使用 ASN 工具为特定国家 / 地区生成 IP 范围，从而实现精准定位。美国和中国占其目标的一半以上。CRYSTALRAY 使用 nmap 进行快速网络扫描，然后使用 HTTPS 验证域状态并使用 nuclei 进行全面的漏洞检查。

CRYSTALRAY 的利用阶段涉及修改公开的概念验证 (POC) 漏洞以包含其有效载荷，通常部署 Platypus 或 Sliver 客户端进行持续控制。 

他们的策略包括利用 SSH-Snake 捕获 SSH 密钥和命令历史记录并将其发送到他们的命令和控制 (C2) 服务器。这种方法不仅有助于在网络内进行横向移动，还使攻击者能够从环境变量和历史文件中提取有价值的凭据。

攻击者还利用 Platypus 仪表板来管理多个反向 shell 会话，根据活动活动，受害者数量在 100 到 400 之间波动。 

Sysdig 威胁研究高级总监 Michael Clark 表示：“CRYSTALRAY 与我们追踪的大多数威胁行为者不同，他们只使用开源渗透测试工具。这使他们能够扩大行动规模，并且正如我们所看到的，他们入侵的系统数量迅速增加。使用 SSH-SNAKE 还使他们能够比普通攻击者更深入受感染的网络，从而访问更多系统和数据。系统和数据越多，利润就越大。”

除了出售被盗凭证外，CRYSTALRAY 还参与了加密货币挖矿活动，每月从受害者资源中赚取约 200 美元。他们还使用脚本来消除受感染系统上的竞争加密货币挖矿程序，确保资源的独占使用。