Een kwaadwillende actor die eerder werd gesignaleerd met behulp van een open-source netwerkmappingtool, heeft zijn activiteiten flink uitgebreid en heeft inmiddels meer dan 1.500 slachtoffers geïnfecteerd.
Sysdig, dat de cluster volgt onder de naam CRYSTALRAY, meldde dat de activiteiten een vertienvoudiging hebben doorgemaakt. Het gaat daarbij onder meer om “massaal scannen, het uitbuiten van meerdere kwetsbaarheden en het plaatsen van achterdeurtjes met behulp van meerdere (open-source software) beveiligingstools.”
Het hoofddoel van de aanvallen is het verzamelen en verkopen van inloggegevens, het inzetten van cryptovalutaminers en het behouden van persistentie in de omgeving van slachtoffers.
Een van de bekendste opensourceprogramma’s die door de dreigingsactor worden gebruikt, is SSH-Snake, dat voor het eerst werd uitgebracht in januari 2024. Het is beschreven als een tool om automatisch netwerkverkeer uit te voeren met behulp van SSH-privésleutels die op systemen zijn ontdekt.
Het misbruik van de software door CRYSTALRAY werd eerder deze februari door het cybersecuritybedrijf gedocumenteerd, waarbij de tool werd ingezet voor laterale verplaatsing na de exploitatie van bekende beveiligingslekken in openbare Apache ActiveMQ- en Atlassian Confluence-instanties.
Joshua Rogers, de ontwikkelaar achter SSH-Snake, vertelde destijds aan The Hacker News dat de tool alleen automatiseert wat anders handmatige stappen zouden zijn geweest, en riep bedrijven op om “de bestaande aanvalspaden te ontdekken – en deze te verhelpen.”
Andere hulpmiddelen die de aanvallers gebruiken, zijn onder meer asn, zmap, httpx en nuclei. Hiermee controleren ze of een domein actief is en starten ze scans op kwetsbare services, zoals Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server en Solr.
CRYSTALRAY wapent ook zijn initiële voet aan de grond om een breed scala aan credential discovery-proces uit te voeren dat verder gaat dan het verplaatsen tussen servers die toegankelijk zijn via SSH. Blijvende toegang tot de gecompromitteerde omgeving wordt bereikt door middel van een legitiem command-and-control (C2)-framework genaamd Sliver en een reverse shell manager met de codenaam Platypus.
In een verdere poging om monetaire waarde te halen uit de geïnfecteerde activa, worden payloads van cryptovaluta-miners afgeleverd om de middelen van het slachtoffer illegaal te gebruiken voor financieel gewin. Tegelijkertijd worden er maatregelen genomen om concurrerende miners die mogelijk al op de machines draaien, uit te schakelen.
“CRYSTALRAY kan inloggegevens van kwetsbare systemen ontdekken en extraheren, die vervolgens op zwarte markten voor duizenden dollars worden verkocht”, aldus Sysdig-onderzoeker Miguel Hernández. “De inloggegevens die worden verkocht, omvatten een veelheid aan services, waaronder Cloud Service Providers en SaaS-e-mailproviders.”
