- 13,858
- 20
- 8 Ноя 2022
1500 жертв всего за несколько месяцев. И это только начало…
Исследователи из Sysdig Для просмотра ссылки Войдиили Зарегистрируйся о новой киберпреступной группе CRYSTALRAY, которая с февраля этого года похитила учётные данные уже более 1500 жертв и установила криптомайнеры на их системы.
Данное хакерское объединение использует червя SSH-Snake, который ворует SSH-ключи со взломанных серверов и самостоятельно распространяется по скомпрометированным сетям. Ранее было известно около 100 жертв в рамках деятельности киберпреступников, но сейчас их число выросло до вышеозвученных 1500.
CRYSTALRAY использует массовое сканирование через сервисы наподобие Shodan, эксплуатирует уязвимости и устанавливает бэкдоры. В своих атаках они применяют инструменты zmap, asn, httpx, nuclei, platypus и SSH-Snake.
Основная цель группы — кража и продажа учётных данных, установка криптомайнеров и сохранение доступа к системам жертв. Они используют модифицированные эксплойты и инструментарий Sliver.
CRYSTALRAY активно используют в своих атаках следующие уязвимости:
CRYSTALRAY использует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки в взломанных системах. В то же время SSH-Snake продолжает оставаться основным инструментом, с помощью которого достигается распространение по взломанным сетям.
После получения SSH-ключей червь SSH-Snake использует их для входа в новые системы, копирования себя и повторения процесса на новых хостах. Более того, SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и истории атак обратно на C2-сервер хакеров, предоставляя возможности для дальнейших атак.
CRYSTALRAY продаёт украденные учётные данные в даркнете и Telegram. Кроме того, за счёт криптомайнеров во взломанных системах хакеры зарабатывают около $200 в месяц. С апреля злоумышленники изменили конфигурацию, поэтому их текущий доход неизвестен.
По мере роста угрозы CRYSTALRAY наилучшей стратегией смягчения последствий является минимизация поверхности атаки с помощью своевременных обновлений безопасности для устранения уязвимостей по мере их раскрытия.
Исследователи из Sysdig Для просмотра ссылки Войди
Данное хакерское объединение использует червя SSH-Snake, который ворует SSH-ключи со взломанных серверов и самостоятельно распространяется по скомпрометированным сетям. Ранее было известно около 100 жертв в рамках деятельности киберпреступников, но сейчас их число выросло до вышеозвученных 1500.
CRYSTALRAY использует массовое сканирование через сервисы наподобие Shodan, эксплуатирует уязвимости и устанавливает бэкдоры. В своих атаках они применяют инструменты zmap, asn, httpx, nuclei, platypus и SSH-Snake.
Основная цель группы — кража и продажа учётных данных, установка криптомайнеров и сохранение доступа к системам жертв. Они используют модифицированные эксплойты и инструментарий Sliver.
CRYSTALRAY активно используют в своих атаках следующие уязвимости:
- Для просмотра ссылки Войди
или Зарегистрируйся уязвимость в Control Web Panel (CWP); - Для просмотра ссылки Войди
или Зарегистрируйся ошибка в Ignition (Laravel); - Для просмотра ссылки Войди
или Зарегистрируйся уязвимость в Ignite Realtime Openfire.
CRYSTALRAY использует веб-менеджер Platypus для обработки нескольких сеансов обратной оболочки в взломанных системах. В то же время SSH-Snake продолжает оставаться основным инструментом, с помощью которого достигается распространение по взломанным сетям.
После получения SSH-ключей червь SSH-Snake использует их для входа в новые системы, копирования себя и повторения процесса на новых хостах. Более того, SSH-Snake не только распространяет заражение, но и отправляет захваченные ключи и истории атак обратно на C2-сервер хакеров, предоставляя возможности для дальнейших атак.
CRYSTALRAY продаёт украденные учётные данные в даркнете и Telegram. Кроме того, за счёт криптомайнеров во взломанных системах хакеры зарабатывают около $200 в месяц. С апреля злоумышленники изменили конфигурацию, поэтому их текущий доход неизвестен.
По мере роста угрозы CRYSTALRAY наилучшей стратегией смягчения последствий является минимизация поверхности атаки с помощью своевременных обновлений безопасности для устранения уязвимостей по мере их раскрытия.
- Источник новости
- www.securitylab.ru
