CRYSTALRAY: Einblicke in die Operationen einer aufkommenden Bedrohung, die OSS-Tools ausnutzt
San Francisco (ots)
Das Sysdig Threat Research Team (TRT) überwacht seit Februar 2024 den Bedrohungsakteur CRYSTALRAY, der seine Operationen stark ausgeweitet hat. Dieser Akteur hatte zuvor das Open Source Software (OSS) Penetration Test Tool SSH-Snake in einer Kampagne zur Ausnutzung von Schwachstellen in Confluence eingesetzt.
Jüngste Beobachtungen des Teams zeigen, dass die Operationen von CRYSTALRAY um das Zehnfache auf über 1.500 Opfer angestiegen sind und nun Massenscans, die Ausnutzung mehrerer Schwachstellen und das Platzieren von Hintertüren unter Verwendung mehrerer OSS-Sicherheitstools umfassen.
Die Motivation von CRYSTALRAY besteht darin, Anmeldeinformationen zu sammeln und zu verkaufen, Kryptominer einzusetzen und in der Umgebung der Opfer zu bleiben. Zu den OSS-Tools, die der Bedrohungsakteur verwendet, gehören zmap, asn, httpx, nuclei, platypus und SSH-Snake. Einen detaillierten Überblick und eine ausführliche technische Analyse der erwähnten OSS-Tools finden Sie unter: https://sysdig.com/blog/crystalray-rising-threat-actor-exploiting-oss-tools/
Empfehlungen
Die CRYSTALRAY-Operationen zeigen, wie einfach es für einen Angreifer ist, den Zugang zu den Netzwerken seiner Opfer aufrechtzuerhalten und zu kontrollieren, wenn er nur Open-Source- und Penetrationstest-Tools verwendet. Daher ist es notwendig, Erkennungs- und Präventionsmaßnahmen zu implementieren, um der Hartnäckigkeit der Angreifer zu widerstehen. Der erste Schritt, um die überwiegende Mehrheit dieser automatisierten Angriffe zu verhindern, ist die Verringerung der Angriffsfläche durch Schwachstellen-, Identitäts- und Vertraulichkeitsmanagement. Wenn es notwendig ist, Anwendungen dem Internet auszusetzen, können sie irgendwann angreifbar werden. Daher müssen Unternehmen der Behebung von Schwachstellen Priorität einräumen, um das Risiko einer Anfälligkeit zu verringern.
Schließlich ist es notwendig, über Laufzeiterkennung zu verfügen, um jederzeit zu wissen, ob ein Angriff erfolgreich war, Abhilfemaßnahmen zu ergreifen und eine gründlichere forensische Analyse durchzuführen, um die Ursache zu ermitteln.
Pressekontakt:
Kafka Kommunikation GmbH & Co KG
Fabian Haid
+4989747470-580
Sysdig@kafka-kommunikation.de
Original content of: Sysdig Inc., transmitted by news aktuell