Sysdig 威胁研究团队 （TRT） 揭示了 SSH-Snake 威胁参与者活动的重大发展。

该组织现在被称为CRYSTALRAY，显着扩大了其业务，其受害者人数增加了十倍，达到1500多人。

根据 Sysdig 上周发布的一份新公告，已经观察到 CRYSTALRAY 使用各种开源安全工具来扫描漏洞、部署后门并保持对受感染环境的持续访问。

该蠕虫最初在针对 Confluence 漏洞的活动中利用 SSH-Snake 开源软件。

使用复杂的工具和技术

CRYSTALRAY 于 2024 年 1 月发布，使用发现的 SSH 凭据进行自我修改和传播，与传统的 SSH 蠕虫相比，具有更强的隐身性和效率。它目前的操作包括使用nmap、asn、HTTPS、nuclei和鸭嘴兽等工具进行大规模扫描和利用多个漏洞。

该组织的主要目标是收集和出售凭证，部署加密矿工并确保持续访问受感染的系统。

他们的扫描技术非常复杂。例如，他们使用 ASN 工具为特定国家/地区生成 IP 范围，从而实现精确定位。美国和中国占其目标的一半以上。CRYSTALRAY使用nmap进行快速网络扫描，然后使用HTTPS验证域状态和核心进行全面的漏洞检查。

CRYSTALRAY 的利用阶段涉及修改公开可用的概念验证 （POC） 漏洞以包含其有效载荷，通常部署鸭嘴兽或银子客户端进行持久控制。

他们的策略包括利用 SSH-Snake 捕获 SSH 密钥和命令历史记录并将其发送到他们的命令和控制 （C2） 服务器。这种方法不仅促进了网络内的横向移动，还使攻击者能够从环境变量和历史文件中提取有价值的凭据。

攻击者还利用鸭嘴兽仪表板来管理多个反向外壳会话，根据活动活动，受害者人数在 100 到 400 之间波动。

“CRYSTALRAY与我们跟踪的大多数威胁行为者不同，因为他们只使用开源渗透测试工具，”Sysdig威胁研究高级总监Michael Clark说。“这使他们能够扩大业务规模，正如我们所看到的，他们迅速增加了他们入侵的系统数量。使用 SSH-SNAKE 还可以让他们比典型的攻击者更深入地进入受感染的网络，从而使他们能够访问更多的系统和数据。系统和数据越多，利润就越多。

除了出售被盗凭证外，还观察到 CRYSTALRAY 从事加密采矿业务，每月从受害者资源中产生约 200 美元。他们还使用脚本来消除受感染系统上的竞争加密矿工，确保资源的独家使用。