Recentemente, sono emerse due importanti minacce nel campo della sicurezza informatica: il gruppo di hacker CRYSTALRAY ha ampliato il proprio arsenale di attacchi, compromettendo oltre 1.500 sistemi utilizzando lo strumento SSH-Snake, mentre è stata scoperta una vulnerabilità critica nel demone OpenSSH utilizzato in RHEL 9 e nelle sue varianti. Questi sviluppi sottolineano l’urgenza di mantenere aggiornati i sistemi e implementare misure di sicurezza robuste per proteggere le infrastrutture informatiche da attacchi sofisticati.
CRYSTALRAY Hacker: Espansione a 1.500 Sistemi Compromessi con lo Strumento SSH-Snake
Il gruppo di hacker noto come CRYSTALRAY ha ampliato significativamente la sua portata, colpendo oltre 1.500 vittime utilizzando nuove tattiche e exploit. Questo gruppo è stato monitorato dai ricercatori di Sysdig da febbraio, quando è stato riportato per la prima volta l’uso del worm open-source SSH-Snake per diffondersi lateralmente nelle reti compromesse.
Panoramica degli attacchi di CRYSTALRAY
Strumento Utilizzato | Descrizione |
---|---|
SSH-Snake | Worm open-source che ruba chiavi SSH e si diffonde lateralmente |
Platypus | Gestore web-based per gestire sessioni reverse shell multiple |
Sliver Toolkit | Toolkit di post-sfruttamento utilizzato per lanciare exploit |
Tecniche e obiettivi
CRYSTALRAY utilizza exploit proof-of-concept modificati per attaccare le vulnerabilità identificate. I principali obiettivi includono:
Vulnerabilità | Descrizione |
---|---|
CVE-2022-44877 | Esecuzione di comandi arbitrari in Control Web Panel (CWP) |
CVE-2021-3129 | Esecuzione di codice arbitrario in Ignition (Laravel) |
CVE-2019-18394 | Server-side request forgery (SSRF) in Ignite Realtime Openfire |
Sysdig ha osservato che CRYSTALRAY sfrutta anche prodotti Atlassian Confluence, basandosi sui pattern di exploit osservati contro 1.800 IP, un terzo dei quali negli Stati Uniti.
Propagazione e Persistenza
SSH-Snake rimane lo strumento principale utilizzato per propagarsi attraverso le reti compromesse. Questo worm ruba le chiavi SSH e le utilizza per accedere a nuovi sistemi, copiandosi e ripetendo il processo sui nuovi host. Inoltre, invia le chiavi catturate e le cronologie bash al server di comando e controllo (C2) di CRYSTALRAY, fornendo opzioni per attacchi più versatili.
Monetizzazione dei Dati Rubati
Gli obiettivi di CRYSTALRAY includono la raccolta e la vendita di credenziali, il deploy di cryptominer e il mantenimento della persistenza negli ambienti delle vittime.
Metodo di Monetizzazione | Descrizione |
---|---|
Vendita di credenziali | Credenziali rubate per servizi cloud, email e altri strumenti SaaS venduti sul dark web o Telegram |
Deploy di cryptominer | Cryptominer installati sui sistemi compromessi per generare entrate |
Sysdig ha tracciato alcuni lavoratori del mining associati a CRYSTALRAY, scoprendo che guadagnavano circa $200 al mese. Tuttavia, da aprile, CRYSTALRAY ha cambiato configurazione, rendendo impossibile determinare il loro attuale guadagno.
Mitigazione e Prevenzione
La strategia migliore per mitigare la minaccia di CRYSTALRAY è minimizzare la superficie d’attacco attraverso aggiornamenti di sicurezza tempestivi per correggere le vulnerabilità man mano che vengono divulgate.
Bug di OpenSSH in RHEL 9 e le sue Varianti
Alexander Peslyak, fondatore di Openwall e noto nella comunità della sicurezza come Solar Designer, ha scoperto una nuova condizione di race nel gestore di segnali nel demone sshd
utilizzato in RHEL 9.x e nelle sue varianti.
Dettagli del Bug | CVE-2024-6409 |
---|---|
Scopritore | Alexander Peslyak (Solar Designer) |
Versioni Affected | sshd versioni 8.7p1 e 8.8p1 in Fedora 36, 37 e RHEL 9 |
Impatti e mitigazione
Il bug CVE-2024-6409 consente potenzialmente l’esecuzione di codice remoto, sebbene il processo affetto operi con privilegi ridotti. Questo riduce l’impatto potenziale dell’attacco.
Mitigazione | Dettagli |
---|---|
AlmaLinux | Ha già rilasciato una patch per correggere il bug |
Ubuntu | Conferma che nessuna versione supportata è affetta |
Le vulnerabilità in OpenSSH e le nuove tattiche di CRYSTALRAY evidenziano l’importanza di mantenere sistemi aggiornati e monitorati. Le organizzazioni devono adottare pratiche di sicurezza robuste per proteggere le loro infrastrutture da queste minacce emergenti.
La crescente minaccia rappresentata dal gruppo di hacker CRYSTALRAY, che ha compromesso oltre 1.500 sistemi utilizzando lo strumento SSH-Snake, insieme alla recente scoperta di una vulnerabilità critica nel demone OpenSSH utilizzato in RHEL 9, sottolinea l’importanza di aggiornamenti di sicurezza tempestivi e pratiche di sicurezza robuste. Le organizzazioni devono rimanere vigili e adottare misure proattive per proteggere le loro infrastrutture informatiche da attacchi sofisticati e vulnerabilità emergenti.