Daha önce SSH-Snake kullanarak gözlemlenen tehdit aktörü Crystalray, 1.500’den fazla kurbanı hedef alarak operasyonlarını önemli ölçüde genişletti.
Toplu tarama yaparak, birden fazla güvenlik açığını istismar ederek ve zmap, asn, httpx, nucleus, platypus ve SSH-Snake gibi araçları kullanarak CRYSTALRAY, kimlik bilgilerini çalıp satmayı, kripto madencileri konuşlandırmayı ve kurban ortamlarında varlığını sürdürmeyi hedefliyor.
Kendini değiştiren SSH-Snake solucanı, geleneksel SSH solucanlarına kıyasla gizliliği ve verimliliği artırarak yanal hareket ve kimlik bilgisi keşfine yardımcı olur.
Crystalry, ağ istihbaratını etkin bir şekilde toplamak için ProjectDiscovery’nin ASN aracını kullanıyor ve belirli ülkelerle ilgili verileri Shodan’dan sorgulayarak Marcel Bischoff’un country-ip-blocks deposunu kullanarak hassas IPv4 ve IPv6 CIDR blokları üretiyor.
Bu hedefli tarama yaklaşımı, hedef sistemleri doğrudan incelemeden kapsamlı keşif yapılmasına olanak tanır ve açık portlar, güvenlik açıkları, yazılım ve donanımlar hakkında ayrıntılı bilgi sağlar.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files
Saldırgan, operasyonel verimliliği artırmak için belirli ülkelere ait taranabilir IP listeleri oluşturmak amacıyla ASN, jq ve kabuk komut dosyalarının bir kombinasyonunu kullanarak bu süreci otomatikleştirir.
Yüksek hızlı bir ağ tarayıcısı olan zmap’ten yararlanarak saldırganlar, ActiveMQ, WebLogic ve Solr gibi bilinen güvenlik açığı bulunan servislerle ilişkili belirli portları bulmak için geniş bir IP aralığını etkili bir şekilde tararlar.
.webp)
Saldırgan, zmap’i gelişmiş seçeneklerle özelleştirerek ve sonuçları filtreleyerek taramayı hız ve doğruluk açısından optimize etti.
Araştırmacılar, daha sonra hızlı bir HTTP araç takımı olan httpx’in, zmap sonuçlarından canlı ana bilgisayarları doğrulamak ve ek bilgi toplamak için kullanıldığını, böylece daha fazla istismar için potansiyel hedeflerin belirlenmesinin hızlandırıldığını söyledi.
Crystalry, port taraması için zmap’i, HTTP araştırması için httpx’i kullanırken, bir güvenlik açığı tarayıcısı olan nucleus’u, öncelikli olarak birleşmeyle ilgili CVE’lere odaklanarak, istismar edilebilir güvenlik açıklarını tespit etmek için kullanırken, açık kaynaklı araçlardan yararlanan çok aşamalı bir saldırı süreci kullanır.
Tespit edilmekten kaçınmak için çekirdekler ayrıca bal tuzaklarını tespit etmek için de kullanılır. Saldırgan daha sonra, genellikle Platypus veya Sliver istemcileri olan kötü amaçlı yüklerini enjekte etmek için herkese açık kavram kanıtı istismarlarını değiştirir ve savunmasız sistemleri hedefler.
.webp)
Keşfedilen SSH anahtarları ve kimlik bilgilerini kullanarak kurbanın ağında yayılmak, ele geçirilen anahtarları ve bash geçmişlerini dışarı sızdırmak için açık kaynaklı bir solucan olan SSH-SNAKE’i kullanır.
Ayrıca tehdit aktörü, ortam değişkenlerinde kimlik bilgilerini arar ve bulduğu kimlik bilgilerini bulut platformlarına yatay geçiş ve ardından karaborsada satış yapmak için kullanır.
.webp)
Crystalray, sistemleri tehlikeye atmak ve hassas verileri sızdırmak için açık kaynaklı araçlar kullanan bir tehdit aktörü. Bu araçlar bash komut geçmişi çıkarma, kalıcılık için Sliver ve komuta ve kontrol için Platypus kullanır.
Grup, kimlik bilgileri ve belirteçler elde etmek için komut geçmişlerini agresif bir şekilde topluyor ve depoluyor ve Platypus’u tehlikeye atılmış sistemleri yönetmek için kullanırken kalıcı erişimi ve yatay hareketi sürdürmek için Sliver çerçevesinden yararlanıyor.
.webp)
Sysdig’e göre, bu saldırı, bulut ve SaaS sağlayıcıları da dahil olmak üzere çeşitli hizmetlere ait kimlik bilgilerini çalmak için sistemleri tehlikeye atıyor, ardından bunlar karaborsada satılıyor ve saldırganın C2 sunucusunda saklanıyor.
Ayrıca, hem eski, daha az gelişmiş betikleri hem de daha yeni, daha karmaşık yapılandırmaları kullanarak, enfekte olmuş bilgisayarlarda rekabet eden kripto madencilerini sonlandıran, tehlikeye atılmış sistemleri paraya çevirmek için kripto madencileri konuşlandırır.
“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo