SSH-Ormmask
Ett nätverkskarteringsverktyg vid namn SSH-Snake, som gjordes till öppen källkod, har återanvänts av bedrägerirelaterade aktörer för sina attacker. SSH-Snake fungerar som en självmodifierande mask som använder SSH-referenser som erhållits från ett komprometterat system för att spridas över det riktade nätverket. Denna mask skannar autonomt igenkända referensförråd och skalhistorikfiler för att identifiera dess efterföljande åtgärder.
Innehållsförteckning
SSH-ormmasken sprider sig över offrens nätverk
SSH-Snake, som släpptes på GitHub i början av januari 2024, kännetecknas av sin utvecklare som ett potent verktyg designat för automatiserad nätverksövergång genom användning av privata SSH-nycklar som upptäckts på olika system.
Verktyget genererar en detaljerad karta över ett nätverk och dess beroenden, vilket hjälper till att bedöma potentiella kompromisser genom privata SSH- och SSH-nycklar som kommer från en specifik värd. Dessutom har SSH-Snake förmågan att lösa domäner med flera IPv4-adresser.
SSH-Snake fungerar som en helt självreplikerande och fillös enhet och kan liknas vid en mask, som autonomt reproducerar och sprider sig över system. Detta skalskript underlättar inte bara sidorörelse utan erbjuder också förbättrad smygfrihet och flexibilitet jämfört med konventionella SSH-maskar.
SSH-Snake-verktyget har utnyttjats i cyberbrottsverksamhet
Forskare har identifierat fall där hotaktörer har använt SSH-Snake i faktiska cyberattacker för att samla in referenser, mål-IP-adresser och bash-kommandohistorik. Detta inträffade efter identifieringen av en Command-and-Control-server (C2) som var värd för den inhämtade datan. Attackerna involverar aktivt utnyttjande av kända säkerhetssårbarheter i Apache ActiveMQ och Atlassian Confluence-instanser för att etablera initial åtkomst och distribuera SSH-Snake.
SSH-Snake utnyttjar den rekommenderade metoden att använda SSH-nycklar för att öka spridningen. Detta tillvägagångssätt, som anses mer intelligent och tillförlitligt, gör det möjligt för hotaktörer att utöka sin räckvidd inom ett nätverk när de väl har etablerat sig.
Utvecklaren av SSH-Snake betonar att verktyget ger legitima systemägare ett sätt att identifiera svagheter i deras infrastruktur innan potentiella angripare gör det proaktivt. Företag uppmuntras att utnyttja SSH-Snake för att avslöja befintliga attackvägar och vidta korrigerande åtgärder för att ta itu med dem.
Cyberbrottslingar drar ofta fördel av legitim programvara för sina skadliga syften
Cyberbrottslingar utnyttjar ofta legitima programvaruverktyg för sina osäkra aktiviteter och attacker på grund av flera skäl:
För att motverka dessa hot måste organisationer implementera en säkerhetsåtgärd i flera lager som inkluderar kontinuerlig övervakning, beteendebaserad upptäckt, användarutbildning och att hålla mjukvara och system uppdaterade för att mildra sårbarheter som kan utnyttjas av cyberbrottslingar.