Um agente de ameaça que foi observado anteriormente usando uma ferramenta de mapeamento de rede de código aberto expandiu muito suas operações e infectou mais de 1.500 vítimas.
A Sysdig, que está rastreando o cluster sob o nome CRYSTALRAY, disse que as atividades testemunharam um aumento de dez vezes, acrescentando que isso inclui “varredura em massa, exploração de múltiplas vulnerabilidades e colocação de backdoors usando múltiplas ferramentas de segurança (de software program de código aberto)”.
O objetivo principal dos ataques é coletar e vender credenciais, implantar mineradores de criptomoedas e manter a persistência em ambientes de vítimas. A maioria das infecções está concentrada nos EUA, China, Cingapura, Rússia, França, Japão e Índia, entre outros.
Entre os programas de código aberto usados pelo agente de ameaças, destaca-se o SSH-Snake, que foi lançado pela primeira vez em janeiro de 2024. Ele foi descrito como uma ferramenta para realizar travessia automática de rede usando chaves privadas SSH descobertas em sistemas.
O abuso do software program pela CRYSTALRAY foi documentado pela empresa de segurança cibernética no início de fevereiro, com a ferramenta implantada para movimentação lateral após a exploração de falhas de segurança conhecidas em instâncias públicas do Apache ActiveMQ e do Atlassian Confluence.
Joshua Rogers, o desenvolvedor por trás do SSH-Snake, disse ao The Hacker Information na época que a ferramenta apenas automatiza o que seriam etapas manuais, e pediu que as empresas “descobrissem os caminhos de ataque que existem – e os corrigissem”.
Algumas das outras ferramentas empregadas pelos invasores incluem asn, zmap, httpx e nuclei para verificar se um domínio está ativo e iniciar varreduras em busca de serviços vulneráveis, como Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server e Solr.
A CRYSTALRAY também arma sua posição inicial para conduzir um processo de descoberta de credenciais de amplo alcance que vai além da movimentação entre servidores acessíveis by way of SSH. O acesso persistente ao ambiente comprometido é realizado por meio de uma estrutura legítima de comando e controle (C2) chamada Sliver e um gerenciador de shell reverso com o codinome Platypus.
Em uma nova tentativa de obter valor monetário dos ativos infectados, cargas úteis de mineradores de criptomoedas são entregues para usar ilicitamente os recursos da vítima para ganho financeiro, ao mesmo tempo em que tomam medidas para encerrar mineradores concorrentes que já podem estar operando nas máquinas.
“O CRYSTALRAY é capaz de descobrir e extrair credenciais de sistemas vulneráveis, que são então vendidas em mercados negros por milhares de dólares”, disse o pesquisador da Sysdig Miguel Hernández. “As credenciais que estão sendo vendidas envolvem uma infinidade de serviços, incluindo provedores de serviços de nuvem e provedores de e-mail SaaS.”
