Haker Crystalray, koji je prethodno posmatran korištenjem SSH-Snakea, značajno je proširio operacije, ciljajući preko 1.500 žrtava.
Koristeći masovno skeniranje, iskorišćavajući višestruke ranjivosti i koristeći alate kao što su zmap, asn, httpx, nuclei, platypus i SSH-Snake, CRYSTALRAY ima za cilj krađu i prodaju , implementaciju kriptomajnera i opstanak unutar okruženja žrtava.
Crv SSH-Snake koji se samo-modifikuje pomaže u bočnom kretanju i otkrivanju akreditiva, povećavajući prikrivenost i efikasnost u poređenju sa tradicionalnim SSH crvima.
Crystalry koristi ASN alat iz ProjectDiscoveryja za efikasno prikupljanje mrežne inteligencije, a upitom Shodana za podatke o određenim zemljama, generiše precizne IPv4 i IPv6 CIDR blokove koristeći Marcel Bischoff-ov country-ip-blocks repozitorijum.
Završi te naredbu kako biste imali datoteku spremnu za automatizaciju.
Ovaj pristup ciljanom skeniranju omogućava sveobuhvatno izviđanje bez direktnog ispitavanja ciljanih sistema, pružajući detaljne informacije o otvorenim portovima, ranjivosti, softveru i hardveru.
Napadač automatizuje ovaj proces koristeći kombinaciju ASN, jq i shell skripti za kreiranje skeniranih IP lista za određene zemlje, poboljšavajući operativnu efikasnost.
Koristeći zmap, brzi mrežni skener, napadači efikasno skeniraju veliki opseg IP adresa za određene portove povezane sa poznatim ranjivim uslugama kao što su ActiveMQ, WebLogic i Solr.
Naredba Zmap portova
Prilagođavajući zmap naprednim opcijama i rezultatima filtriranja, napadač je optimizovao skeniranje za brzinu i tačnost.
Nakon toga, httpx, brzi HTTP alat, korišten je za validaciju živih hostova iz zmap rezultata i prikupljanje dodatnih informacija, ubrzavajući identifikaciju potencijalnih meta za dalju eksploataciju, kažu istraživači.
Crystalry koristi višefazni proces napada koristeći alate otvorenog koda, budući da koriste zmap za skeniranje portova, nakon čega slijedi httpx za HTTP ispitavanje, dok se nuclei, skener ranjivosti, koristi za identifikaciju ranjivosti koje je moguće iskoristiti, prvenstveno fokusirajući se na CVE-ove povezane s konfluenceom.
Da bi se izbjegla detekcija, jezgra se takođe koriste za otkrivanje honeypots. Napadač zatim modifikuje javno dostupne eksploatacije dokaza o konceptu kako bi ubacio svoj zlonamjerni teret, često Platypus ili Sliver klijente, ciljajući na ranjive sisteme.
Procenat IP-ova po pogođenom regionu
Koristi SSH-SNAKE, crv otvorenog koda, za širenje kroz mrežu žrtve koristeći otkrivene SSH ključeve i akredativi, eksfiltrirajući uhvaćene ključeve i bash historije.
Osim toga, haker traži akredative u varijablama okruženja, koristeći pronađene akredative za bočno kretanje na platforme u cloud-u i kasniju prodaju na crnim tržištima.
Ssh snake
Crystalray je harek koji koristi alate otvorenog koda da kompromituje sisteme i eksfiltrira osjetljive podatke. Ovi alati koriste bash vađenje istorije komandi, Sliver za postojanost i Platypus za komandovanje i kontrolu.
Grupa agresivno prikuplja i pohranjuje historije komandi za prikupljanje akreditiva i tokena, i koriste Sliver okvir za održavanje trajnog pristupa i bočnog kretanja dok koriste Platypus za upravljanje ugroženim sistemima.
Platypus Dashboard
Prema Sysdig-u, kompromituje sisteme za krađu akreditiva za različite usluge, uključujući cloud i SaaS provajdere, koji se zatim prodaju na crnom tržištu i pohranjuju na C2 server napadača.
Takođe primenjuje kriptominere za unovčavanje ugroženih sistema, koristeći i starije, manje sofisticirane skripte i novije, složenije konfiguracije, koje ukidaju konkurentske kriptominere na zaraženim hostovima.
Izvor:CyberSecurityNews
