Kripto Para Dolandırıcılığı, Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Nispeten Yeni Bir Tehdit Aktörü Açık Kaynaklı Araçlar Kullanıyor, ABD ve Çin’e Odaklanıyor
Prajeet Nair (@prajeetskonuşuyor) •
12 Temmuz 2024
Şubat ayından bu yana nispeten yeni bir tehdit aktörü, saldırı süreçlerini otomatikleştirmek ve kolaylaştırmak için açık kaynaklı güvenlik araçlarını kullanarak dünya çapında 1.500’den fazla kuruluşu tehlikeye attı.
Ayrıca bakınız: İsteğe Bağlı Siber Suçlular Tatil Günlerini Boş Geçirmezler
CRYSTALRAY adıyla takip edilen grup, başlangıçta Confluence’daki güvenlik açıklarını istismar etmek için SSH-Snake sızma testi aracını kullandı ve daha sonra araç setini ilk ağ veri incelemesi için ASN, güvenlik açığı taraması için Nuclei, sızma için SSH-Snake, tehlikeye atılmış sistemlere bağlantıları sürdürmek için Sliver ve devam eden saldırıları yönetmek için Platypus’u içerecek şekilde genişletti.
Saldırganlar, potansiyel hedefleri belirlemek için otomatik IP adresi tarama ve güvenlik açığı kontrol hizmetleri kullanır. Öncelikle Activemq, Confluence, Laravel, Openfire, Rocketmq, Solr ve Weblogic’teki bilinen güvenlik açıklarına odaklanırlar. İlk erişimi elde ettikten sonra, bilgisayar korsanları ek kimlik bilgilerini ortaya çıkarmak için yanal hareket saldırıları gerçekleştirirler, bu kimlik bilgileri daha sonra karanlık web’de satılır ve kripto madenciliği operasyonlarını dağıtmak için kullanılır.
CRYSTALRAY çok çeşitli ülkeleri hedef alıyor ve saldırıya uğrayan kuruluşların yarısından fazlası ABD ve Çin’den oluşuyor. Etkilenen diğer ülkeler arasında Almanya, Rusya, Fransa, Hindistan ve Birleşik Krallık yer alıyor.
Sysdig’deki araştırmacılar, grubun operasyonlarının ilk saldırılarından bu yana on kat arttığını bir raporda açıkladı. Taktikler arasında artık toplu tarama, birden fazla güvenlik açığından yararlanma ve birden fazla OSS güvenlik aracıyla arka kapılar yerleştirme yer alıyor.
Sysdig’in Tehdit Araştırma Ekibi, SSH-Snake tehdit aktörünü ilk olarak Şubat ayında tanımladı. Şu anda CRYSTALRAY olarak tanımlanan grupla ilgili daha fazla araştırma, hızlı bir genişleme gösterdi.
CRYSTALRAY’in motivasyonları kimlik bilgilerini toplamak ve satmak, kripto madencileri dağıtmak ve kurban ortamlarında kalıcılığı sürdürmektir. Kullanılan açık kaynaklı araçlardan bazıları Zmap, ASN, Httpx, Nuclei, Platypus ve SSH-Snake’dir.
4 Ocak’ta yayımlanan SSH-Snake, tehlikeye atılmış bir sistemde keşfedilen SSH kimlik bilgilerini kullanarak ağ boyunca yayılan kendi kendini değiştiren bir solucandır. Bilinen kimlik bilgisi konumlarını ve kabuk geçmişi dosyalarını tarayarak tipik SSH solucanlarından daha fazla gizlilik, esneklik ve yapılandırılabilirlik sağlar.
CRYSTALRAY’in keşif süreçleri ve araçları arasında ProjectDiscovery’den çok sayıda meşru OSS aracı bulunur. Saldırganlar bu araçları yönetmek ve sürdürmek için PDTM adlı bir paket yöneticisi kullanır. ASN aracı, grubun belirli ülkeler için IP aralıkları oluşturmasına yardımcı olur ve botnet’lere veya APT saldırılarına kıyasla daha hassas taramalar sağlar. Hedeflenen IP aralıklarındaki savunmasız hizmetleri belirleyerek verimli çoklu bağlantı noktası taraması için ASN’yi Zmap ile birleştirirler.
Zmap sonuçlarına sahip olduklarında, CRYSTALRAY hacker’ları etki alanlarının canlı mı yoksa yanlış pozitif mi olduğunu doğrulamak için Httpx’i kullanır. Bu adım, ölçeklenebilir bir açık kaynaklı güvenlik açığı tarayıcısı olan Nuclei kullanılarak bilinen güvenlik açıklarını kontrol etmeden önce sonuçlarda güvenilirliği sürdürmek için çok önemlidir.
Grubun istismar aşaması, tanımladıkları güvenlik açıkları için mevcut kavram kanıtlarından yararlanmayı içerir. CRYSTALRAY, olası güvenlik açıklarını doğruladıktan sonra, kötü amaçlı yükler sunmak için genellikle Platypus veya Sliver gibi araçları kullanarak erişim elde etmek için bunları istismar eder.
Erişimi sürdürmek için CRYSTALRAY, açık kaynaklı bir düşman emülasyon çerçevesi olan Sliver’ı kullanır. Bu araç, çeşitli protokoller üzerinden C2’yi destekler ve grubun kurban ortamlarında kalıcı olmasını sağlar.