CRYSTALRAY: Einblicke in die Operationen einer aufkommenden Bedrohung, die OSS-Tools ausnutzt

sysdig_Vert_Color_Logo_RGB_lrg

SAN FRANCISCO – 11. Juli 2024 Das Sysdig Threat Research Team (TRT) hat die Überwachung des SSH-Snake-Bedrohungsakteurs, der erstmals im Februar 2024 identifiziert wurde, fortgesetzt. Neue Erkenntnisse zeigten, dass der Bedrohungsakteur, der hinter dem ursprünglichen Angriff steckte, seine Operationen stark ausweitete. Das rechtfertigte eine Identifizierung, um den Akteur und seine Kampagnen weiter zu verfolgen und darüber zu berichten: CRYSTALRAY. Dieser Akteur hatte zuvor das Open Source Software (OSS) Penetration Test Tool SSH-Snake in einer Kampagne zur Ausnutzung von Schwachstellen in Confluence eingesetzt.

Jüngste Beobachtungen des Teams zeigen, dass die Operationen von CRYSTALRAY um das Zehnfache auf über 1.500 Opfer angestiegen sind und nun Massenscans, die Ausnutzung mehrerer Schwachstellen und das Platzieren von Hintertüren unter Verwendung mehrerer OSS-Sicherheitstools umfassen.

Die Motivation von CRYSTALRAY besteht darin, Anmeldeinformationen zu sammeln und zu verkaufen, Kryptominer einzusetzen und in der Umgebung der Opfer zu bleiben. Zu den OSS-Tools, die der Bedrohungsakteur verwendet, gehören zmap, asn, httpx, nuclei, platypus und SSH-Snake. Einen detaillierten Überblick und eine ausführliche technische Analyse der erwähnten OSS-Tools finden Sie hier.

Empfehlungen

Die CRYSTALRAY-Operationen zeigen, wie einfach es für einen Angreifer ist, den Zugang zu den Netzwerken seiner Opfer aufrechtzuerhalten und zu kontrollieren, wenn er nur Open-Source- und Penetrationstest-Tools verwendet. Daher ist es notwendig, Erkennungs- und Präventionsmaßnahmen zu implementieren, um der Hartnäckigkeit der Angreifer zu widerstehen. Der erste Schritt, um die überwiegende Mehrheit dieser automatisierten Angriffe zu verhindern, ist die Verringerung der Angriffsfläche durch Schwachstellen-, Identitäts- und Vertraulichkeitsmanagement. CRYSTALRAY ist nur ein Beispiel, aber das TRT beobachtet immer häufiger automatisierte Cloud-Angriffe. Wenn es notwendig ist, Ihre Anwendungen dem Internet auszusetzen, können sie irgendwann angreifbar werden. Daher müssen Unternehmen der Behebung von Schwachstellen Priorität einräumen, um das Risiko einer Anfälligkeit zu verringern.

Schließlich ist es notwendig, über Laufzeiterkennung zu verfügen, um jederzeit zu wissen, ob ein Angriff erfolgreich war, Abhilfemaßnahmen zu ergreifen und eine gründlichere forensische Analyse durchzuführen, um die Ursache zu ermitteln.

Fazit

CRYSTALRAY ist ein neuer Bedrohungsakteur, der mehrere OSS-Tools zum Scannen und Ausnutzen von Schwachstellen zu verwenden. Sobald sie Zugang erlangt haben, installieren sie eine von mehreren Hintertüren, um die Kontrolle über das Ziel zu behalten. SSH-Snake wird dann verwendet, um sich im gesamten Netzwerk des Opfers auszubreiten und Anmeldeinformationen zu sammeln, um sie zu verkaufen. Darüber hinaus werden Cryptominers eingesetzt, um aus den kompromittierten Systemen zusätzlichen Geldwert zu gewinnen.