Expansion des activités d’un acteur de menace dans le domaine de la cybersécurité
Un acteur de menace ayant utilisé précédemment un outil de cartographie de réseau open-source a considérablement étendu ses opérations pour infecter plus de 1 500 victimes.
Sysdig, qui suit le cluster sous le nom de CRYSTALRAY, a déclaré que les activités ont connu une augmentation décuplée, ajoutant qu’elles comprennent « le balayage de masse, l’exploitation de multiples vulnérabilités et la mise en place de portes dérobées à l’aide de plusieurs outils de sécurité en open-source ».
Outils utilisés par l’acteur de menace
Parmi les programmes open-source utilisés par l’acteur de menace figure SSH-Snake, qui a été publié pour la première fois en janvier 2024. Il a été décrit comme un outil permettant de réaliser une traversée automatique du réseau en utilisant des clés privées SSH découvertes sur des systèmes.
L’utilisation abusive du logiciel par CRYSTALRAY a été documentée par la société de cybersécurité plus tôt en février, l’outil étant déployé pour un mouvement latéral après l’exploitation de failles de sécurité connues dans des instances publiques d’Apache ActiveMQ et Atlassian Confluence.
Processus de découverte d’identifiants et d’exploitation de ressources
CRYSTALRAY utilise également ses premières implantations pour mener un processus étendu de découverte d’identifiants, allant au-delà de la navigation entre les serveurs accessibles via SSH. L’accès persistant à l’environnement compromis est réalisé au moyen d’un cadre de commandement et de contrôle (C2) légitime appelé Sliver, et d’un gestionnaire de shell inversé nommé Platypus.
Une fois l’accès établi, des charges utiles de mineurs de cryptomonnaies sont délivrées pour utiliser illicitement les ressources de la victime à des fins de gain financier, tout en prenant des mesures pour éliminer les mineurs concurrents qui pourraient déjà fonctionner sur les machines.
Monétisation des actifs infectés
Miguel Hernández, chercheur chez Sysdig, a déclaré: « CRYSTALRAY est capable de découvrir et d’extraire des identifiants de systèmes vulnérables, qui sont ensuite vendus sur les marchés noirs pour des milliers de dollars. Les identifiants vendus concernent une multitude de services, notamment les fournisseurs de services cloud et les fournisseurs de messagerie SaaS. »
Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Source : thehackernews.com