El equipo de investigación de amenazas de Sysdig (TRT) ha revelado importantes novedades en las actividades del actor de amenazas SSH-Snake. El grupo, ahora conocido como CRYSTALRAY, ha ampliado notablemente sus operaciones, multiplicando por diez su número de víctimas hasta más de 1500. Según un nuevo aviso publicado por Sysdig la semana pasada, se ha observado que CRYSTALRAY utiliza una variedad de herramientas de seguridad de código abierto para buscar vulnerabilidades, implementar puertas traseras y mantener un acceso persistente a entornos comprometidos. El gusano aprovecha inicialmente el software de código abierto SSH-Snake en campañas dirigidas a las vulnerabilidades de Confluence. Más información sobre las vulnerabilidades de Confluence: Los piratas informáticos atacan Atlassian Confluence con exploits RCE Se utilizan herramientas y técnicas sofisticadas Lanzado en enero de 2024, CRYSTALRAY se automodifica y se propaga utilizando las credenciales SSH descubiertas, lo que ofrece un mayor sigilo y eficiencia en comparación con los gusanos SSH tradicionales. Sus operaciones actuales incluyen escaneo masivo y explotación de múltiples vulnerabilidades, utilizando herramientas como nmap, asn, HTTPS, nuclei y Platypus. Los principales objetivos del grupo son recopilar y vender credenciales, implementar criptomineros y garantizar el acceso continuo a los sistemas comprometidos. Sus técnicas de escaneo son sofisticadas. Por ejemplo, generan rangos de IP para países específicos utilizando la herramienta ASN, lo que permite una orientación precisa. Estados Unidos y China representan más de la mitad de sus objetivos. CRYSTALRAY utiliza nmap para escaneos rápidos de red, seguido de HTTPS para verificar el estado del dominio y nuclei para verificaciones de vulnerabilidad integrales. La fase de explotación de CRYSTALRAY implica modificar los exploits de prueba de concepto (POC) disponibles públicamente para incluir sus cargas útiles, a menudo implementando clientes Platypus o Sliver para un control persistente. Sus tácticas incluyen aprovechar SSH-Snake para capturar y enviar claves SSH e historiales de comandos a sus servidores de comando y control (C2). Este método no solo facilita el movimiento lateral dentro de las redes, sino que también permite a los atacantes extraer credenciales valiosas de las variables del entorno y los archivos históricos. Los atacantes también utilizan el panel de Platypus para administrar múltiples sesiones de shell inversa, con números de víctimas que fluctúan entre 100 y 400 según la actividad de la campaña. “CRYSTALRAY es diferente de la mayoría de los actores de amenazas que rastreamos, ya que solo utilizan herramientas de prueba de penetración de código abierto”, dijo Michael Clark, director sénior de investigación de amenazas en Sysdig. “Esto les permite ampliar sus operaciones y, como vimos, aumentar rápidamente la cantidad de sistemas que comprometen. El uso de SSH-SNAKE también les permite ingresar más profundamente en las redes comprometidas que el atacante típico, lo que les da acceso a más sistemas y datos. Cuantos más sistemas y datos, más ganancias «. Además de vender credenciales robadas, se ha observado que CRYSTALRAY participa en operaciones de criptominería, generando aproximadamente $ 200 por mes de los recursos de las víctimas. También emplean scripts para eliminar a los criptomineros de la competencia en los sistemas comprometidos, lo que garantiza el uso exclusivo de los recursos.