SSH-slangworm
Een tool voor het in kaart brengen van netwerken genaamd SSH-Snake, die open source is gemaakt, is door fraudegerelateerde actoren opnieuw gebruikt voor hun aanvalsoperaties. SSH-Snake functioneert als een zelfmodificerende worm en gebruikt SSH-inloggegevens verkregen van een gecompromitteerd systeem om zich over het beoogde netwerk te verspreiden. Deze worm scant autonoom herkende referentieopslagplaatsen en shell-geschiedenisbestanden om de daaropvolgende acties te identificeren.
Inhoudsopgave
De SSH-Snake Worm verspreidt zich over de netwerken van slachtoffers
SSH-Snake, begin januari 2024 uitgebracht op GitHub, wordt door de ontwikkelaar gekenmerkt als een krachtige tool die is ontworpen voor geautomatiseerde netwerktraversal door het gebruik van SSH-privésleutels die op verschillende systemen zijn ontdekt.
De tool genereert een gedetailleerde kaart van een netwerk en zijn afhankelijkheden, wat helpt bij de beoordeling van potentiële compromissen via SSH en SSH-privésleutels die afkomstig zijn van een specifieke host. Bovendien heeft SSH-Snake de mogelijkheid om domeinen met meerdere IPv4-adressen op te lossen.
SSH-Snake functioneert als een volledig zelfreplicerende en bestandsloze entiteit en kan worden vergeleken met een worm, die zich autonoom reproduceert en verspreidt over systemen. Dit shellscript vergemakkelijkt niet alleen zijwaartse beweging, maar biedt ook verbeterde stealth en flexibiliteit in vergelijking met conventionele SSH-wormen.
De SSH-Snake Tool is misbruikt bij cybercriminaliteitsoperaties
Onderzoekers hebben gevallen geïdentificeerd waarin bedreigingsactoren SSH-Snake hebben gebruikt bij daadwerkelijke cyberaanvallen om inloggegevens te verzamelen, IP-adressen te targeten en de geschiedenis van bash-commando's uit te voeren. Dit gebeurde na de identificatie van een Command-and-Control (C2)-server die de verkregen gegevens hostte. Bij de aanvallen wordt actief misbruik gemaakt van bekende beveiligingsproblemen in Apache ActiveMQ- en Atlassian Confluence-instanties om initiële toegang tot stand te brengen en SSH-Snake te implementeren.
SSH-Snake maakt gebruik van de aanbevolen praktijk van het gebruik van SSH-sleutels om de verspreiding ervan te vergroten. Deze aanpak, die als intelligenter en betrouwbaarder wordt beschouwd, stelt dreigingsactoren in staat hun bereik binnen een netwerk uit te breiden zodra ze voet aan de grond hebben gekregen.
De ontwikkelaar van SSH-Snake benadrukt dat de tool legitieme systeemeigenaren een manier biedt om zwakheden in hun infrastructuur te identificeren voordat potentiële aanvallers dit proactief doen. Bedrijven worden aangemoedigd om SSH-Snake te gebruiken om bestaande aanvalspaden bloot te leggen en corrigerende maatregelen te nemen om deze aan te pakken.
Cybercriminelen maken vaak misbruik van legitieme software voor hun snode doeleinden
Cybercriminelen misbruiken regelmatig legitieme softwaretools voor hun onveilige activiteiten en vallen operaties aan, om verschillende redenen:
Om deze bedreigingen het hoofd te bieden, moeten organisaties een meergelaagde beveiligingslijn implementeren, waaronder continue monitoring, op gedrag gebaseerde detectie, gebruikerseducatie en het up-to-date houden van software en systemen om kwetsbaarheden te beperken die door cybercriminelen kunnen worden uitgebuit.