CRYSTALRAYという脅威アクターが、オープンソースのネットワークマッピングツールを使用して1,500人以上の被害者に感染を広げた。Sysdigによると、この活動は10倍に増加し、大量スキャン、複数の脆弱性の悪用、複数のオープンソースソフトウェアセキュリティツールを使用したバックドアの設置が含まれる。攻撃の主な目的は、資格情報の収集と販売、暗号通貨マイナーの展開、被害者環境での持続的なアクセスの維持である。
SSH-Snakeというプログラムが攻撃者によって使用されており、2024年1月に初めてリリースされた。これは、システム上で発見されたSSHプライベートキーを使用して自動的にネットワークを横断するツールとして説明されている。CRYSTALRAYは、Apache ActiveMQやAtlassian Confluenceのインスタンスに存在する既知のセキュリティ欠陥を悪用した後、横方向の移動にこのツールを展開した。
攻撃者は、asn、zmap、httpx、nucleiなどの他のツールも使用して、ドメインがアクティブかどうかを確認し、Apache ActiveMQ、Apache RocketMQ、Atlassian Confluence、Laravel、Metabase、Openfire、Oracle WebLogic Server、Solrなどの脆弱なサービスのスキャンを実施する。さらに、Sliverという正当なコマンドアンドコントロール(C2)フレームワークと、Platypusというコードネームのリバースシェルマネージャーを使用して、侵害された環境への持続的なアクセスを実現する。
被害者のリソースを不正に使用して金銭的利益を得るために、暗号通貨マイナーのペイロードが配信される。同時に、マシン上で既に実行されている可能性のある競合するマイナーを終了させる措置が取られる。Sysdigの研究者Miguel Hernándezによると、「CRYSTALRAYは脆弱なシステムから資格情報を発見し、抽出することができ、それらは数千ドルでブラックマーケットに販売される」と述べている。販売される資格情報には、クラウドサービスプロバイダーやSaaSメールプロバイダーなどの多様なサービスが含まれる。
【ニュース解説】
CRYSTALRAYと名付けられた脅威アクターが、オープンソースのネットワークマッピングツールを利用して1,500人以上の被害者に対する感染を拡大させた事件が発生しました。この攻撃は、大量のスキャン活動、複数の脆弱性の悪用、そして複数のオープンソースソフトウェアセキュリティツールを使用したバックドアの設置を含む、10倍に増加した活動として報告されています。攻撃の主目的は、資格情報の収集と販売、暗号通貨マイナーの展開、そして被害者環境での持続的なアクセスの維持です。
SSH-Snakeというツールは、システム上で見つかったSSHプライベートキーを利用して自動的にネットワークを横断することを可能にします。このツールは、Apache ActiveMQやAtlassian Confluenceなどの公開されているインスタンスに存在する既知のセキュリティ欠陥を悪用した後の横方向の移動にCRYSTALRAYによって使用されました。
この攻撃では、ドメインがアクティブかどうかを確認し、脆弱なサービスをスキャンするために、asn、zmap、httpx、nucleiなどの他のツールも使用されています。また、Sliverという正当なコマンドアンドコントロール(C2)フレームワークと、Platypusというコードネームのリバースシェルマネージャーを使用して、侵害された環境への持続的なアクセスが実現されています。
この攻撃の影響は、単にシステムの不正利用に留まらず、被害者のリソースを不正に使用して金銭的利益を得るために暗号通貨マイナーのペイロードが配信されることにも及びます。さらに、システム上で既に実行されている可能性のある競合するマイナーを終了させる措置が取られることで、攻撃者はより多くのリソースを独占します。
このような攻撃は、企業や組織が使用するオープンソースソフトウェアのセキュリティに対する認識を高める必要性を浮き彫りにします。また、資格情報の盗難と販売は、被害者にとって重大なセキュリティリスクをもたらし、企業の信頼性や顧客データの安全性に対する懸念を引き起こします。この事件は、セキュリティ対策の重要性と、特にオープンソースツールを使用する際の慎重な管理と監視の必要性を再確認させるものです。長期的には、より効果的なセキュリティプロトコルの開発と、脆弱性の迅速な特定と修正が求められます。
from CRYSTALRAY Hackers Infect Over 1,500 Victims Using Network Mapping Tool.