CRYSTALRAY-Hackergruppe verdoppelt Opferzahl in wenigen Monaten
Ein Bedrohungsakteur auf Expansionskurs: Was mit dem vorsichtigen Missbrauch eines Open-Source-Tools für die Netzwerkzuordnung begann, wächst sich zur großen Kampagne aus. Aktuell hat die erweiterte Operation „CRYSTALRAY“ bereits über 1.500 Opfer infiziert.
Seit mehreren Monaten hat das Sysdig Threat Research Team (TRT) eine Bedrohung durch den Akteur SSH-Snake (benannt nach dem eingesetzten Open-Source-Tool) auf dem Schirm. Neue Erkenntnisse zeigten, dass der Angreifer seine Aktivitäten in letzter Zeit erheblich ausgeweitet hat. Daher erhielt er zur weiteren Verfolgung und Berichterstattung jetzt den Namen CRYSTALRAY.
Die neuesten Beobachtungen des Teams zeigen, dass CRYSTALRAY seine Aktivitäten um das Zehnfache auf über 1.500 Opfer ausgeweitet hat. Die Angriffe umfassen jetzt massenhafte Netzwerkscans, die Ausnutzung mehrerer Schwachstellen und das Platzieren von Hintertüren mit verschiedenen Open-Source-Sicherheitstools. Die meisten dieser Infektionen sind in den USA, China, Singapur, Russland, Frankreich, Japan und Indien konzentriert.
Die Hauptziele von CRYSTALRAY sind das Sammeln und Verkaufen von Anmeldeinformationen, das Installieren von Kryptowährungs-Minern und das Aufrechterhalten einer dauerhaften Präsenz in den infizierten Umgebungen. Zu den Open-Source-Tools, die der Angreifer jetzt einsetzt, gehören zmap, asn, httpx, nuclei, platypus und weiterhin SSH-Snake. Der Missbrauch von SSH-Snake wurde von der Sysdig bereits im Februar dokumentiert. Das Tool wurde eingesetzt, um sich seitlich im Netzwerk zu bewegen, nachdem bekannte Sicherheitslücken in öffentlich zugänglichen Apache ActiveMQ- und Atlassian Confluence-Instanzen ausgenutzt wurden. Sein Entwickler Joshua Rogers erklärte, dass das Tool lediglich manuelle Schritte automatisiere und forderte Unternehmen auf, „die bestehenden Angriffspfade zu entdecken und zu beheben.“
Die weiteren von den Angreifern inzwischen verwendeten Tools werden zur Überprüfung genutzt, ob eine Domain aktiv ist und nach verwundbaren Diensten wie Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server und Solr zu suchen.
CRYSTALRAY nutzt den anfänglichen Zugriff auf die Systeme, um eine umfassende Erkennung und Sammlung von Anmeldeinformationen durchzuführen. Diese Aktivitäten gehen über das bloße Bewegen zwischen Servern, die über SSH zugänglich sind, hinaus. Der dauerhafte Zugang zur kompromittierten Umgebung wird durch das legitime Command-and-Control (C2)-Framework Sliver und den Reverse-Shell-ManagerPlatypus erreicht.
Um den finanziellen Nutzen aus den infizierten Systemen zu maximieren, installieren die Angreifer Kryptowährungs-Miner, welche die Ressourcen der Opfer illegal nutzen. Gleichzeitig ergreifen sie Maßnahmen, um konkurrierende Miner, die bereits auf den Maschinen laufen könnten, zu beenden. „CRYSTALRAY ist in der Lage, Anmeldeinformationen von verwundbaren Systemen zu entdecken und zu extrahieren, die dann auf Schwarzmärkten für Tausende von Dollar verkauft werden,“ so der Sysdig-Experte Miguel Hernández. „Die verkauften Anmeldeinformationen betreffen eine Vielzahl von Diensten, einschließlich solche von Cloud-Service-Providern und SaaS-E-Mail-Anbietern.“
Die Verzehnfachung der Angriffe und die ausgefeilte Nutzung von Open-Source-Tools durch CRYSTALRAY stellen eine erhebliche Bedrohung für Unternehmen weltweit dar. Die Fähigkeit der Angreifer, sich lateral durch Netzwerke zu bewegen, Anmeldeinformationen zu sammeln und ihre Präsenz aufrechtzuerhalten, zeigt die Notwendigkeit für Unternehmen, ihre Sicherheitsmaßnahmen kontinuierlich zu überprüfen und zu verstärken.