Fraude de criptomonedas, ciberdelito, gestión de fraudes y ciberdelito Un actor de amenazas relativamente nuevo utiliza herramientas de código abierto y se centra en EE. UU. y ChinaPrajeet Nair (@prajeetspeaks) • 12 de julio de 2024 Imagen: Shutterstock Un actor de amenazas relativamente nuevo ha comprometido a más de 1500 organizaciones en todo el mundo desde febrero, utilizando herramientas de seguridad de código abierto para automatizar y agilizar los procesos de ataque. Ver también: Seminario web | Revisión del año 2023 de ciberseguridad OT: lecciones aprendidas en las líneas del frente El grupo, identificado como CRYSTALRAY, utilizó inicialmente la herramienta de prueba de penetración SSH-Snake para explotar vulnerabilidades en Confluence y desde entonces ha ampliado su conjunto de herramientas para incluir ASN para la investigación inicial de datos de red, Nuclei para escaneo de vulnerabilidades, SSH-Snake para penetración, Sliver para mantener conexiones a sistemas comprometidos y Platypus para gestionar ataques en curso. Los atacantes emplean servicios automatizados de escaneo de direcciones IP y verificación de vulnerabilidades para identificar objetivos potenciales. Los hackers se centran principalmente en vulnerabilidades conocidas en Activemq, Confluence, Laravel, Openfire, Rocketmq, Solr y Weblogic. Una vez que obtienen acceso inicial, los hackers llevan a cabo ataques de movimiento lateral para descubrir credenciales adicionales, que luego se venden en la dark web y se utilizan para implementar operaciones de criptominería. CRYSTALRAY tiene como objetivo una amplia gama de países, y Estados Unidos y China representan más de la mitad de las organizaciones atacadas. Otros países afectados incluyen Alemania, Rusia, Francia, India y el Reino Unido. Los investigadores de Sysdig revelaron en un informe que las operaciones del grupo se han multiplicado por diez desde su ataque inicial. Las tácticas ahora incluyen escaneo masivo, explotación de múltiples vulnerabilidades y colocación de puertas traseras con múltiples herramientas de seguridad OSS. El equipo de investigación de amenazas de Sysdig identificó por primera vez al actor de amenazas SSH-Snake en febrero. Una investigación más profunda del grupo, ahora identificado como CRYSTALRAY, mostró una rápida expansión. Las motivaciones de CRYSTALRAY son recopilar y vender credenciales, implementar criptomineros y mantener la persistencia en los entornos de las víctimas. Algunas de las herramientas de código abierto utilizadas incluyen Zmap, ASN, Httpx, Nuclei, Platypus y SSH-Snake. Lanzado el 4 de enero, SSH-Snake es un gusano que se modifica automáticamente y que utiliza credenciales SSH descubiertas en un sistema comprometido para propagarse por toda la red. Busca en ubicaciones de credenciales conocidas y archivos de historial de shell, lo que proporciona mayor sigilo, flexibilidad y capacidad de configuración que los gusanos SSH típicos. Los procesos y herramientas de reconocimiento de CRYSTALRAY incluyen numerosas herramientas OSS legítimas de ProjectDiscovery. Los atacantes utilizan un administrador de paquetes llamado PDTM para administrar y mantener estas herramientas. La herramienta ASN ayuda al grupo a generar rangos de IP para países específicos, lo que permite escaneos más precisos en comparación con botnets o ataques APT. Combinan ASN con Zmap para un escaneo multipuerto eficiente, identificando servicios vulnerables en rangos de IP específicos. Una vez que tienen los resultados de Zmap, los piratas informáticos de CRYSTALRAY usan Httpx para verificar si los dominios están activos o son falsos positivos. Este paso es crucial para mantener la fiabilidad de los resultados antes de comprobar las vulnerabilidades conocidas mediante Nuclei, un escáner de vulnerabilidades de código abierto capaz de funcionar a gran escala. La fase de explotación del grupo implica aprovechar las pruebas de concepto existentes para las vulnerabilidades que identifican. Después de verificar las vulnerabilidades potenciales, CRYSTALRAY las explota para obtener acceso, a menudo utilizando herramientas como Platypus o Sliver para entregar cargas útiles maliciosas. Para mantener el acceso, CRYSTALRAY emplea Sliver, un marco de emulación de adversarios de código abierto. Esta herramienta admite C2 en varios protocolos y permite al grupo persistir en los entornos de las víctimas. URL de la publicación original: https://www.databreachtoday.com/crystalray-group-targets-1500-organizations-in-6-months-a-25759