SSH-Зміїний черв'як
Інструмент відображення мережі під назвою SSH-Snake, який був відкритий, був перепрофільований учасниками шахрайства для своїх атак. SSH-Snake функціонує як самомодифікований хробак, який використовує облікові дані SSH, отримані від скомпрометованої системи, для поширення цільовою мережею. Цей хробак автономно сканує розпізнані сховища облікових даних і файли історії оболонок, щоб визначити свої подальші дії.
Зміст
SSH-Snake Worm поширюється в мережах жертв
SSH-Snake, випущений на GitHub на початку січня 2024 року, характеризується його розробником як потужний інструмент, розроблений для автоматизованого обходу мережі за допомогою закритих ключів SSH, виявлених у різних системах.
Інструмент створює детальну карту мережі та її залежностей, допомагаючи в оцінці потенційних компрометацій через SSH і приватні ключі SSH, що надходять від певного хоста. Крім того, SSH-Snake має можливість розпізнавати домени з кількома адресами IPv4.
SSH-Snake, який функціонує як повністю самовідтворювана безфайлова сутність, можна порівняти з хробаком, який автономно відтворює та поширює систему. Цей сценарій оболонки не тільки полегшує бічний рух, але також пропонує покращену скритність і гнучкість порівняно зі звичайними хробаками SSH.
Інструмент SSH-Snake використовувався в операціях проти кіберзлочинності
Дослідники виявили випадки, коли зловмисники використовували SSH-Snake у реальних кібератаках для збору облікових даних, цільових IP-адрес і історії команд bash. Це сталося після ідентифікації командно-контрольного (C2) сервера, на якому розміщені отримані дані. Атаки включають активне використання відомих уразливостей безпеки в екземплярах Apache ActiveMQ і Atlassian Confluence для встановлення початкового доступу та розгортання SSH-Snake.
SSH-Snake використовує рекомендовану практику використання ключів SSH для посилення свого поширення. Цей підхід, який вважається більш інтелектуальним і надійним, дозволяє суб’єктам загрози розширити свій охоплення в мережі, коли вони закріпляться.
Розробник SSH-Snake наголошує, що інструмент надає законним власникам системи засоби для виявлення слабких місць у їхній інфраструктурі до того, як це зроблять потенційні зловмисники. Компанії заохочуються використовувати SSH-Snake, щоб виявити існуючі шляхи атак і вжити заходів щодо їх усунення.
Кіберзлочинці часто користуються легітимним програмним забезпеченням для своїх мерзенних цілей
Кіберзлочинці часто використовують законні програмні засоби для своєї небезпечної діяльності та атакують з кількох причин:
Щоб протистояти цим загрозам, організаціям необхідно запровадити багаторівневу лінію безпеки, яка включає безперервний моніторинг, виявлення на основі поведінки, навчання користувачів і постійне оновлення програмного забезпечення та систем для пом’якшення вразливостей, якими можуть скористатися кіберзлочинці.