Aktor ancaman baru yang dikenal sebagai CRYSTALRAY telah memperluas cakupan penargetannya secara signifikan dengan taktik dan eksploitasi baru, kini menghitung lebih dari 1.500 korban yang kredensialnya dicuri dan penambang kripto dikerahkan.
Hal ini dilaporkan oleh para peneliti di Sysdig, yang telah melacak aktor ancaman tersebut sejak Februari, ketika mereka pertama kali dilaporkan penggunaan mereka terhadap SSH-Ular cacing sumber terbuka untuk menyebar secara lateral pada jaringan yang diretas.
SSH-snake merupakan worm sumber terbuka yang mencuri kunci pribadi SSH pada server yang disusupi dan menggunakannya untuk berpindah secara lateral ke server lain sambil menjatuhkan muatan tambahan pada sistem yang diretas.
Sebelumnya, Sysdig mengidentifikasi sekitar 100 korban CRYSTALRAY yang terkena dampak serangan SSH-Snake dan menyoroti kemampuan alat pemetaan jaringan untuk mencuri kunci pribadi dan memfasilitasi pergerakan jaringan lateral secara tersembunyi.
Menggigit lebih keras
Sysdig melaporkan bahwa aktor ancaman di balik serangan ini, yang sekarang dilacak sebagai CRYSTALRAY, telah meningkatkan operasi mereka secara signifikan, dengan jumlah korban mencapai 1.500 orang.
“Pengamatan terbaru tim menunjukkan bahwa operasi CRYSTALRAY telah meningkat 10x hingga lebih dari 1.500 korban dan sekarang mencakup pemindaian massal, mengeksploitasi beberapa kerentanan, dan menempatkan pintu belakang menggunakan beberapa alat keamanan OSS,” tulis Laporan Sysdig.
“Motivasi CRYSTALRAY adalah untuk mengumpulkan dan menjual kredensial, menyebarkan cryptominer, dan mempertahankan persistensi di lingkungan korban. Beberapa alat OSS yang dimanfaatkan pelaku ancaman tersebut meliputi zmap, asn, httpx, nucleus, platypus, dan SSH-Snake.”
Sumber: Sysdig
Sysdig mengatakan CRYSTALRAY menggunakan eksploitasi proof-of-concept (PoC) yang dimodifikasi yang dikirimkan ke target menggunakan toolkit pasca-eksploitasi Sliver, menyediakan contoh lain penyalahgunaan perkakas sumber terbuka.
Sebelum meluncurkan eksploitasi, penyerang melakukan pemeriksaan menyeluruh untuk mengonfirmasi kelemahan yang ditemukan melalui inti.
Kerentanan yang ditargetkan CRYSTALRAY dalam operasinya saat ini adalah:
- CVE-2022-44877: Cacat eksekusi perintah sewenang-wenang di Control Web Panel (CWP)
- CVE-2021-3129: Bug eksekusi kode arbitrer memengaruhi Ignition (Laravel).
- CVE-2019-18394: Kerentanan pemalsuan permintaan sisi server (SSRF) di Ignite Realtime Openfire
Sysdig mengatakan produk Atlassian Confluence kemungkinan juga menjadi sasaran, berdasarkan pola eksploitasi yang diamati yang muncul dari upaya terhadap 1.800 IP, sepertiganya berada di AS
CRYSTALRAY menggunakan pengelola berbasis web Platypus untuk menangani beberapa sesi reverse shell pada sistem yang diretas. Pada saat yang sama, SSH-Snake terus menjadi alat utama yang digunakan untuk melakukan propagasi melalui jaringan yang disusupi.
Sumber: Sysdig
Setelah kunci SSH diambil, worm SSH-Snake menggunakannya untuk masuk ke sistem baru, menyalin dirinya sendiri, dan mengulangi proses pada host baru.
SSH-Snake tidak hanya menyebarkan infeksi tetapi juga mengirimkan kunci yang ditangkap dan riwayat bash kembali ke server perintah dan kontrol (C2) CRYSTALRAY, memberikan opsi untuk serangan yang lebih serbaguna.
Sumber: Sysdig
Memonetisasi data yang dicuri
CRYSTALRAY bertujuan untuk mencuri kredensial yang disimpan dalam berkas konfigurasi dan variabel lingkungan menggunakan skrip yang mengotomatiskan proses tersebut.
Pelaku ancaman dapat menjual kredensial curian untuk layanan cloud, platform email, atau alat SaaS lainnya di web gelap atau Telegram untuk mendapatkan keuntungan besar.
Selain itu, CRYSTALRAY menyebarkan penambang kripto pada sistem yang diretas untuk menghasilkan pendapatan dengan membajak daya pemrosesan host, dengan skrip yang mematikan semua penambang kripto yang ada untuk memaksimalkan keuntungan.
Sumber: Sysdig
Sysdig melacak beberapa pekerja pertambangan ke kelompok tertentu dan menemukan mereka menghasilkan sekitar $200/bulan.
Namun, mulai bulan April, CRYSTALRAY beralih ke konfigurasi baru, sehingga tidak mungkin menentukan pendapatannya saat ini.
Seiring berkembangnya ancaman CRYSTALRAY, strategi mitigasi terbaik adalah meminimalkan permukaan serangan melalui pembaruan keamanan tepat waktu guna memperbaiki kerentanan saat terungkap.
