SSH-Snake Worm
Nástroj pro mapování sítě s názvem SSH-Snake, který byl vytvořen jako open source, byl znovu použit aktéry souvisejícími s podvody pro své útočné operace. SSH-Snake funguje jako samomodifikující červ využívající přihlašovací údaje SSH získané z kompromitovaného systému k šíření v cílové síti. Tento červ autonomně skenuje rozpoznaná úložiště pověření a soubory historie shellu, aby identifikoval své následné akce.
Obsah
SSH-Snake Worm se šíří mezi sítěmi obětí
SSH-Snake, který byl vydán na GitHubu na začátku ledna 2024, je svým vývojářem charakterizován jako účinný nástroj určený pro automatizované procházení sítí pomocí soukromých klíčů SSH objevených na různých systémech.
Nástroj generuje podrobnou mapu sítě a jejích závislostí, což pomáhá při posuzování potenciálních kompromisů prostřednictvím soukromých klíčů SSH a SSH pocházejících z konkrétního hostitele. SSH-Snake má navíc schopnost překládat domény s více IPv4 adresami.
SSH-Snake, který funguje jako zcela sebereplikující a bez souborů, lze přirovnat k červovi, který se autonomně reprodukuje a šíří napříč systémy. Tento skript shellu nejen usnadňuje pohyb do stran, ale také nabízí lepší utajení a flexibilitu ve srovnání s běžnými SSH červy.
Nástroj SSH-Snake byl využíván při operacích s kyberzločinem
Výzkumníci identifikovali případy, kdy aktéři hrozeb použili SSH-Snake při skutečných kybernetických útocích ke shromažďování přihlašovacích údajů, cílových IP adres a historie příkazů bash. K tomu došlo po identifikaci serveru Command-and-Control (C2) hostujícího získaná data. Útoky zahrnují aktivní využívání známých bezpečnostních slabin v instancích Apache ActiveMQ a Atlassian Confluence k vytvoření počátečního přístupu a nasazení SSH-Snake.
SSH-Snake využívá doporučený postup používání klíčů SSH ke zvýšení svého šíření. Tento přístup, který je považován za inteligentnější a spolehlivější, umožňuje aktérům hrozeb rozšířit svůj dosah v rámci sítě, jakmile se uchytí.
Vývojář SSH-Snake zdůrazňuje, že tento nástroj poskytuje legitimním vlastníkům systémů prostředek k identifikaci slabin v jejich infrastruktuře dříve, než to potenciální útočníci proaktivně udělají. Společnosti se vyzývají, aby využily SSH-Snake k odhalení existujících cest útoku a přijaly nápravná opatření k jejich řešení.
Kyberzločinci často využívají legální software pro své nekalé účely
Kyberzločinci často zneužívají legitimní softwarové nástroje pro své nebezpečné aktivity a útočné operace z několika důvodů:
Aby mohly organizace čelit těmto hrozbám, musí implementovat vícevrstvou bezpečnostní linii, která zahrnuje nepřetržité monitorování, detekci založenou na chování, vzdělávání uživatelů a aktualizaci softwaru a systémů, aby se zmírnila zranitelnost, která by mohla být zneužita kyberzločinci.