Crystalray hacker
イメージミッドジャーニー

CRYSTALRAYとして知られる新たな脅威行為者は、新たな戦術とエクスプロイトによってその標的範囲を大幅に拡大し、現在、認証情報を盗まれ、クリプトマイナーを展開された1,500人以上の被害者を数えています。

これは、SSH-Snakeオープンソースワームを使用して侵入したネットワーク上で横方向に拡散することを最初に報告した2月以来、脅威行為者を追跡してきたSysdigの研究者によって報告されている。

SSH-snakeはオープンソースのワームで、侵害されたサーバー上のSSH秘密鍵を盗み出し、それを使って他のサーバーに移動しながら、侵害されたシステム上に追加のペイロードを投下します。

以前、Sysdigは、SSH-Snake攻撃の影響を受けたCRYSTALRAYの被害者約100人を特定し、秘密鍵を盗み出し、ステルス的にネットワークを横方向に移動させるネットワークマッピングツールの機能を強調しました。

より強力に食い込む

Sysdigの報告によると、これらの攻撃の背後にいる脅威行為者(現在はCRYSTALRAYとして追跡されている)は、その活動を大幅に拡大し、1,500人の被害者を数えています。

チームの最新の観測によると、CRYSTALRAYの作戦は10倍の1,500人以上の被害者にまで拡大し、現在では大量のスキャン、複数の脆弱性の悪用、複数のOSSセキュリティツールを使用したバックドアの設置などが行われている。

「CRYSTALRAYの動機は、クレデンシャルの収集と販売、クリプトミナーの展開、被害者の環境における永続性の維持です。この脅威者が活用しているOSSツールには、zmap、asn、httpx、nuclei、platypus、SSH-Snakeなどがある。”

Overview of CRYSTALRAY attacks
CRYSTALRAY攻撃の概要
出典:Sysdig:Sysdig

Sysdigによると、CRYSTALRAYは、Sliverポストエクスプロイトツールキットを使用してターゲットに配信される修正された概念実証(PoC)エクスプロイトを使用しており、オープンソースツールの悪用のもう1つの例を示しています。

エクスプロイトを実行する前に、攻撃者はnucleiを通じて発見された欠陥を確認するために徹底的なチェックを行います。

CRYSTALRAYが現在の活動でターゲットにしている脆弱性は以下の通りである:

  • CVE-2022-44877:Control Web Panel (CWP) における任意のコマンド実行の欠陥
  • CVE-2021-3129:Ignition (Laravel) に影響するコードの任意実行バグ。
  • CVE-2019-18394:Ignite Realtime Openfire にサーバサイドリクエストフォージェリ (SSRF) の脆弱性

Sysdig によると、1,800 の IP(その 3 分の 1 は米国内)に対する試行から浮かび上がった観察された悪用パターンから、Atlassian Confluence 製品も標的になっている可能性が高いという。

CRYSTALRAYは、侵入されたシステム上で複数のリバースシェルセッションを処理するために、Platypusウェブベースマネージャを使用しています。同時に、SSH-Snakeは、侵害されたネットワークを介して伝播するための主要なツールであり続けている。

SSH-Snake recovering SSH keys
SSH-SnakeによるSSH鍵の復旧
出典:Sysdig:Sysdig

いったんSSHキーが回収されると、SSH-Snakeワームはそれを使って新しいシステムにログインし、自分自身をコピーし、新しいホスト上でそのプロセスを繰り返します。

SSH-Snakeは感染を広げるだけでなく、キャプチャしたキーとbashの履歴をCRYSTALRAYのコマンド・アンド・コントロール(C2)サーバーに送り返し、攻撃の汎用性を高めるオプションを提供する。

SSH-Snake propagation
SSH-Snake の伝播
ソースはこちら:Sysdig

盗まれたデータの収益化

CRYSTALRAYは、プロセスを自動化するスクリプトを使用して、設定ファイルや環境変数に保存された認証情報を盗むことを目的としています。

脅威行為者は、盗んだ認証情報をクラウドサービス、電子メールプラットフォーム、その他のSaaSツールのためにダークウェブやTelegramで販売し、利益を得ることができます。

さらに、CRYSTALRAYは、ホストの処理能力をハイジャックすることで収益を得るために、侵入されたシステム上にクリプトマイナーを展開し、スクリプトによって既存のクリプトマイナーを殺して利益を最大化します。

Mining activity associated with CRYSTALRAY operations
CRYSTALRAYのオペレーションに関連するマイニング活動
出典:Sysdig:Sysdig

Sysdigは、一部のマイニングワーカーを特定のプールまで追跡し、彼らがおよそ月200ドルを稼いでいることを発見しました。

しかし、4月からCRYSTALRAYは新しい構成に切り替えたため、現在の収益を判断することは不可能となった。

CRYSTALRAYの脅威が増大する中、最善の緩和策は、公開された脆弱性を修正するためのタイムリーなセキュリティ・アップデートを通じて、攻撃対象領域を最小化することである。