SSH-змийски червей
Инструмент за мрежово картографиране, наречен SSH-Snake, който беше направен с отворен код, беше преназначен от участници, свързани с измами, за техните операции за атака. SSH-Snake функционира като самомодифициран червей, използващ SSH идентификационни данни, получени от компрометирана система, за да се разпространява в целевата мрежа. Този червей сканира автономно разпознати хранилища на идентификационни данни и файлове с история на обвивките, за да идентифицира последващите си действия.
Съдържание
SSH-Snake Worm се разпространява в мрежите на жертвите
Пуснат на GitHub в началото на януари 2024 г., SSH-Snake се характеризира от своя разработчик като мощен инструмент, предназначен за автоматизирано преминаване през мрежата чрез използване на SSH частни ключове, открити в различни системи.
Инструментът генерира подробна карта на мрежа и нейните зависимости, подпомагайки оценката на потенциални компромиси чрез SSH и SSH частни ключове, произхождащи от конкретен хост. Освен това SSH-Snake има способността да разрешава домейни с множество IPv4 адреси.
Функциониращ като напълно самовъзпроизвеждащ се обект без файлове, SSH-Snake може да бъде оприличен на червей, който се възпроизвежда автономно и се разпространява в системите. Този shell скрипт не само улеснява страничното движение, но също така предлага подобрена скритост и гъвкавост в сравнение с конвенционалните SSH червеи.
Инструментът SSH-Snake е бил използван в операции срещу киберпрестъпления
Изследователите са идентифицирали случаи, в които участниците в заплахата са използвали SSH-Snake в реални кибератаки за събиране на идентификационни данни, насочване към IP адреси и история на командите на bash. Това се случи след идентифицирането на команден и контролен (C2) сървър, хостващ придобитите данни. Атаките включват активно използване на известни уязвимости в сигурността в екземплярите на Apache ActiveMQ и Atlassian Confluence за установяване на първоначален достъп и внедряване на SSH-Snake.
SSH-Snake използва препоръчителната практика за използване на SSH ключове, за да подобри разпространението си. Този подход, считан за по-интелигентен и надежден, позволява на участниците в заплахата да разширят обхвата си в мрежата, след като установят опорна точка.
Разработчикът на SSH-Snake подчертава, че инструментът предоставя на законните собственици на системи средства за идентифициране на слабости в тяхната инфраструктура, преди потенциалните нападатели да го направят проактивно. Компаниите се насърчават да използват SSH-Snake, за да разкрият съществуващи пътища на атака и да предприемат коригиращи мерки за справяне с тях.
Киберпрестъпниците често се възползват от легитимния софтуер за своите престъпни цели
Киберпрестъпниците често експлоатират легитимни софтуерни инструменти за своите опасни дейности и атакуващи операции поради няколко причини:
За да се противопоставят на тези заплахи, организациите трябва да внедрят многопластова линия на действие за сигурност, която включва непрекъснат мониторинг, откриване на базата на поведение, обучение на потребителите и актуализиране на софтуера и системите, за да смекчат уязвимостите, които могат да бъдат използвани от киберпрестъпниците.