SSH-Vierme șarpe
Un instrument de cartografiere a rețelei numit SSH-Snake, care a fost făcut open source, a fost reutilizat de actori legați de fraudă pentru operațiunile lor de atac. SSH-Snake funcționează ca un vierme cu auto-modificare, utilizând acreditările SSH obținute dintr-un sistem compromis pentru a se propaga în rețeaua vizată. Acest vierme scanează în mod autonom depozitele de acreditări recunoscute și fișierele istorice de shell pentru a identifica acțiunile ulterioare.
Cuprins
Viermele SSH-Șarpe se răspândește prin rețelele victimelor
Lansat pe GitHub la începutul lunii ianuarie 2024, SSH-Snake este caracterizat de dezvoltatorul său ca un instrument puternic conceput pentru traversarea automată a rețelei prin utilizarea cheilor private SSH descoperite pe diferite sisteme.
Instrumentul generează o hartă detaliată a unei rețele și a dependențelor acesteia, ajutând la evaluarea potențialelor compromisuri prin cheile private SSH și SSH care provin de la o anumită gazdă. În plus, SSH-Snake are capacitatea de a rezolva domenii cu mai multe adrese IPv4.
Funcționând ca o entitate complet autoreplicabilă și fără fișiere, SSH-Snake poate fi asemănat cu un vierme, reproducându-se și răspândindu-se în mod autonom peste sisteme. Acest script shell nu numai că facilitează mișcarea laterală, dar oferă, de asemenea, furtivitate și flexibilitate îmbunătățite în comparație cu viermii SSH convenționali.
Instrumentul SSH-Snake a fost exploatat în operațiuni de criminalitate cibernetică
Cercetătorii au identificat cazuri în care actorii amenințărilor au folosit SSH-Snake în atacuri cibernetice reale pentru a colecta acreditări, adrese IP vizate și istoricul comenzilor bash. Acest lucru a avut loc după identificarea unui server de comandă și control (C2) care găzduiește datele achiziționate. Atacurile implică exploatarea activă a vulnerabilităților de securitate cunoscute în instanțe Apache ActiveMQ și Atlassian Confluence pentru a stabili accesul inițial și a implementa SSH-Snake.
SSH-Snake exploatează practica recomandată de utilizare a cheilor SSH pentru a-și îmbunătăți răspândirea. Această abordare, considerată mai inteligentă și mai fiabilă, permite actorilor amenințărilor să-și extindă raza de acțiune în cadrul unei rețele odată ce își stabilesc un punct de sprijin.
Dezvoltatorul SSH-Snake subliniază că instrumentul oferă proprietarilor legitimi de sistem un mijloc de a identifica punctele slabe ale infrastructurii lor înainte ca potențialii atacatori să o facă în mod proactiv. Companiile sunt încurajate să folosească SSH-Snake pentru a descoperi căile de atac existente și pentru a lua măsuri corective pentru a le rezolva.
Infractorii cibernetici profită adesea de software-ul legitim în scopurile lor nefaste
Infractorii cibernetici exploatează frecvent instrumentele software legitime pentru activitățile lor nesigure și operațiunile de atac din mai multe motive:
Pentru a contracara aceste amenințări, organizațiile trebuie să implementeze o linie de acțiune de securitate pe mai multe straturi, care să includă monitorizare continuă, detectarea bazată pe comportament, educarea utilizatorilor și menținerea actualizate a software-ului și a sistemelor pentru a atenua vulnerabilitățile care ar putea fi exploatate de infractorii cibernetici.