innovaTopia

Tech for Human Evolution

新脅威「Crystalray」、OSS活用で世界中に影響を及ぼす

新脅威「Crystalray」、OSS活用で世界中に影響を及ぼす - innovaTopia - (イノベトピア)

Last Updated on 2024-07-12 05:10 by admin

「Crystalray」と名付けられた新たな脅威アクターが、オープンソースソフトウェア(OSS)のみを使用して、クレデンシャル盗難とクリプトマイニングの操作を急激に拡大している。このグループは、2月に初めて確認され、AtlassianのConfluenceプラットフォームの既知の脆弱性を悪用するために「SSH-Snake」というペネトレーションテストプログラムを使用していた。Sysdigの研究者たちは、その後、攻撃チェーンのほぼすべてのステップを容易にする他のOSSツールの組み合わせを観察している。

Crystalrayの活動はこの春に爆発的に増加し、現在では世界中で1,800以上のユニークなIPアドレスに影響を及ぼし、常時数百の活動的な感染が存在している。攻撃の半数以上が米国と中国で発生している。

Crystalrayは、初期の偵察に「ASN」というコマンドラインツールを使用し、次に「zmap」を補完して特定のポートを実行する脆弱なサービスをWeb上でスキャンする。その結果を元に、ドメインが生きているかどうかを確認するために「httpx」というHTTPツールキットを実行する。そして、犠牲者が特定された後、脆弱性スキャナー「nuclei」を使用して、潜在的な脆弱性をチェックする。

Crystalrayは、これらの露出したドメインを侵害するために、いかなる種類のエクスプロイトスクリプトも開発することなく、公開されている概念実証(PoC)エクスプロイトを使用して悪意のあるペイロードをドロップする。悪意のあるペイロードには、コマンドアンドコントロール用のクロスプラットフォームレッドチームフレームワーク「Sliver」や、複数のリバースシェルを管理するためのGoベースのツール「Platypus」が含まれる。

このグループは、クラウドプラットフォームやソフトウェアアズアサービス(SaaS)のメールプラットフォームに関連するクレデンシャルを特に探し、それらをブラックマーケットで販売する。また、攻撃者のクリプトウォレットに基づくと、2つのクリプトマイナーからの収入は月に約200ドルであるとされる。

【ニュース解説】

Crystalrayと名付けられた新たな脅威アクターが、オープンソースソフトウェア(OSS)を駆使してクレデンシャル(認証情報)盗難とクリプトマイニング(仮想通貨の不正採掘)の活動を大幅に拡大しています。このグループは、特にAtlassianのConfluenceプラットフォームやその他のソフトウェアの既知の脆弱性を悪用しています。彼らの攻撃は、世界中で1,800以上のユニークなIPアドレスに影響を及ぼし、特に米国と中国での攻撃が目立っています。

Crystalrayは、初期段階の偵察から脆弱性の検出、最終的な侵害に至るまで、一連のOSSツールを利用しています。これには、Shodanでのオープンポートや脆弱性の検索に使われる「ASN」、特定のポートをスキャンする「zmap」、ドメインの生存確認に「httpx」、そして脆弱性スキャンに「nuclei」が含まれます。これらのツールを組み合わせることで、Crystalrayは効率的にターゲットを特定し、攻撃を実行しています。

攻撃の最終段階では、公開されている概念実証(PoC)エクスプロイトを使用して悪意のあるペイロードを配布します。これらのペイロードには、コマンドアンドコントロール用の「Sliver」や、複数のリバースシェルを管理する「Platypus」などが含まれます。また、このグループはクラウドプラットフォームやSaaSのメールプラットフォームに関連するクレデンシャルを探し出し、ブラックマーケットで販売することで収益を上げています。

このような攻撃手法の採用は、脅威アクターにとって複数のメリットがあります。まず、自らマルウェアを開発する必要がなく、既存のOSSツールを利用することで時間と労力を節約できます。また、これらのツールは本来は防御目的で開発されたものであり、攻撃者がこれらを悪用することで、防御側が同じツールを使って攻撃を再現し、対策を講じやすくなるという皮肉な状況が生まれます。

しかし、このような攻撃手法にはリスクも伴います。OSSツールの使用は、防御側にも同じツールへのアクセスを提供し、攻撃手法の理解と対策の開発を容易にします。また、攻撃に使用されるツールが広く知られることで、そのツールの検出とブロックがより効率的になる可能性があります。

長期的に見ると、Crystalrayのような脅威アクターによるOSSツールの悪用は、サイバーセキュリティコミュニティにとって重要な課題となります。これは、防御側が常に攻撃手法を監視し、適切な対策を講じる必要があることを意味します。また、OSSツールの開発者は、これらのツールが悪用されないように、セキュリティ対策を強化することが求められるでしょう。

from 'Crystalray' Attacks Jump 10X, Using Only OSS to Steal Credentials.

ホーム » サイバーセキュリティ » サイバーセキュリティニュース » 新脅威「Crystalray」、OSS活用で世界中に影響を及ぼす