SSH-Verme Serpente
Uno strumento di mappatura della rete denominato SSH-Snake, che è stato reso open source, è stato riproposto da attori legati alle frodi per le loro operazioni di attacco. SSH-Snake funziona come un worm automodificante, utilizzando le credenziali SSH ottenute da un sistema compromesso per propagarsi attraverso la rete presa di mira. Questo worm scansiona autonomamente i repository di credenziali riconosciuti e i file di cronologia della shell per identificare le sue azioni successive.
Sommario
Il worm SSH-Snake si diffonde nelle reti delle vittime
Rilasciato su GitHub all'inizio di gennaio 2024, SSH-Snake è caratterizzato dal suo sviluppatore come un potente strumento progettato per l'attraversamento automatizzato della rete attraverso l'uso di chiavi private SSH scoperte su vari sistemi.
Lo strumento genera una mappa dettagliata di una rete e delle sue dipendenze, aiutando nella valutazione di potenziali compromissioni tramite chiavi private SSH e SSH provenienti da un host specifico. Inoltre, SSH-Snake ha la capacità di risolvere domini con più indirizzi IPv4.
Funzionando come un'entità completamente autoreplicante e priva di file, SSH-Snake può essere paragonato a un worm, che si riproduce e si diffonde autonomamente tra i sistemi. Questo script della shell non solo facilita il movimento laterale ma offre anche maggiore furtività e flessibilità rispetto ai worm SSH convenzionali.
Lo strumento SSH-Snake è stato sfruttato in operazioni di criminalità informatica
I ricercatori hanno identificato casi in cui gli autori delle minacce hanno utilizzato SSH-Snake in attacchi informatici reali per raccogliere credenziali, prendere di mira indirizzi IP e cronologia dei comandi bash. Ciò è avvenuto successivamente all'identificazione di un server di Comando e Controllo (C2) che ospitava i dati acquisiti. Gli attacchi comportano lo sfruttamento attivo di vulnerabilità di sicurezza note nelle istanze di Apache ActiveMQ e Atlassian Confluence per stabilire l’accesso iniziale e distribuire SSH-Snake.
SSH-Snake sfrutta la pratica consigliata di utilizzare le chiavi SSH per migliorarne la diffusione. Questo approccio, ritenuto più intelligente e affidabile, consente agli autori delle minacce di estendere la propria portata all’interno di una rete una volta stabilito un punto d’appoggio.
Lo sviluppatore di SSH-Snake sottolinea che lo strumento fornisce ai legittimi proprietari di sistemi un mezzo per identificare i punti deboli della loro infrastruttura prima che i potenziali aggressori lo facciano in modo proattivo. Le aziende sono incoraggiate a sfruttare SSH-Snake per scoprire percorsi di attacco esistenti e adottare misure correttive per affrontarli.
I criminali informatici spesso sfruttano software legittimo per i loro scopi nefasti
I criminali informatici spesso sfruttano strumenti software legittimi per le loro attività non sicure e attaccano le operazioni per diversi motivi:
Per contrastare queste minacce, le organizzazioni devono implementare una linea d’azione di sicurezza a più livelli che includa il monitoraggio continuo, il rilevamento basato sul comportamento, la formazione degli utenti e il mantenimento di software e sistemi aggiornati per mitigare le vulnerabilità che potrebbero essere sfruttate dai criminali informatici.