CRYSTALRAY es capaz de descubrir y extraer credenciales de sistemas vulnerables
Un actor de amenazas que anteriormente se había observado utilizando una herramienta de mapeo de red de código abierto ha ampliado enormemente sus operaciones para infectar a más de 1.500 víctimas.
Sysdig, que está rastreando el clúster bajo el nombre CRYSTALRAY, dijo que las actividades han experimentado un aumento de 10 veces, y agregó que incluye "escaneo masivo, explotación de múltiples vulnerabilidades y colocación de puertas traseras utilizando múltiples herramientas de seguridad [software de código abierto]".
El objetivo principal de los ataques es recolectar y vender credenciales, implementar mineros de criptomonedas y mantener la persistencia en los entornos de las víctimas.
Entre los programas de código abierto utilizados por el actor de amenazas se destaca SSH-Snake, que se lanzó por primera vez en enero de 2024. Se ha descrito como una herramienta para realizar un recorrido automático de la red utilizando claves privadas SSH descubiertas en los sistemas.
El abuso del software por parte de CRYSTALRAY fue documentado por la compañía de ciberseguridad a principios de febrero, con la herramienta implementada para movimiento lateral luego de la explotación de fallas de seguridad conocidas en instancias públicas de Apache ActiveMQ y Atlassian Confluence.
Joshua Rogers, el desarrollador detrás de SSH-Snake, dijo en ese momento que la herramienta solo automatiza lo que de otro modo habrían sido pasos manuales, y pidió a las empresas que "descubran las rutas de ataque que existen y las solucionen".
Algunas de las otras herramientas empleadas por los atacantes incluyen asn, zmap, httpx y nuclei para verificar si un dominio está activo e iniciar escaneos en busca de servicios vulnerables como Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Servidor Oracle WebLogic y Solr.
CRYSTALRAY también utiliza su punto de apoyo inicial como arma para llevar a cabo un proceso de descubrimiento de credenciales de amplio alcance que va más allá del movimiento entre servidores accesibles a través de SSH. El acceso persistente al entorno comprometido se logra mediante un marco legítimo de comando y control (C2) llamado Sliver y un administrador de shell inverso con nombre en código Platypus.
En un intento adicional de obtener valor monetario de los activos infectados, se entregan cargas útiles de mineros de criptomonedas para utilizar ilícitamente los recursos de la víctima para obtener ganancias financieras, al mismo tiempo que se toman medidas para eliminar a los mineros competidores que pueden haber estado ejecutándose en las máquinas.
"CRYSTALRAY es capaz de descubrir y extraer credenciales de sistemas vulnerables, que luego se venden en el mercado negro por miles de dólares", dijo el investigador de Sysdig Miguel Hernández. "Las credenciales que se venden implican una multitud de servicios, incluidos proveedores de servicios en la nube y proveedores de correo electrónico SaaS".