กลุ่มแฮ็กเกอร์ CRYSTALRAY โจมตีเหยื่อกว่า 1,500 รายโดยใช้ Network Mapping Tool

กลุ่มแฮ็กเกอร์ CRYSTALRAY โจมตีเหยื่อกว่า 1,500 รายโดยใช้ Network Mapping Tool

กลุ่มแฮ็กเกอร์ที่เคยถูกพบว่าใช้ network mapping tool แบบ open-source ได้ขยายการโจมตีจนมีผู้ตกเป็นเหยื่อมากกว่า 1,500 ราย

Sysdig ได้ติดตามกลุ่มแฮ็กเกอร์นี้ภายใต้ชื่อ CRYSTALRAY รายงานว่าการโจมตีของกลุ่มนี้เพิ่มขึ้นถึง 10 เท่า เช่น การสแกนช่องโหว่จำนวนมาก, การโจมตีช่องโหว่หลายรายการ และการติดตั้ง backdoor โดยใช้เครื่องมือรักษาความปลอดภัยแบบ open-source software หลายรายการ

เป้าหมายหลักของการโจมตีเหล่านี้คือการรวบรวม และขายข้อมูล credentials, การติดตั้ง cryptocurrency miners และการพยายามแฝงตัวอยู่ในเครื่องของเหยื่อ

open-source programs ที่ผู้โจมตีเลือกใช้คือ SSH-Snake ซึ่งเปิดตัวครั้งแรกในเดือนมกราคม 2024 โปรแกรมนี้ได้รับการอธิบายว่าเป็นเครื่องมือสำหรับดำเนินการสำรวจเครือข่ายอัตโนมัติโดยใช้ SSH private keys ที่พบในระบบ

เมื่อต้นเดือนกุมภาพันธ์ที่ผ่านมา บริษัทรักษาความปลอดภัยทางด้านเครือข่ายพบเครื่องมือที่ใช้ในการโจมตีของกลุ่ม CRYSTALRAY ซึ่งเครื่องมือดังกล่าวถูกนําไปใช้สําหรับการหลบเลี่ยงการตรวจจับ โดยพบหลังจากการโจมตีช่องโหว่ด้านความปลอดภัยใน Apache ActiveMQ และ Atlassian Confluence

Joshua Rogers นักพัฒนาที่อยู่เบื้องหลัง SSH-Snake ให้ข้อมูลกับ The Hacker News ในขณะนั้นว่า เครื่องมือนี้จะทำให้ขั้นตอนที่ต้องทำด้วยตนเองเป็นแบบอัตโนมัติเท่านั้น และแจ้งไปยังบริษัทต่าง ๆ ให้ตรวจสอบเส้นทางการโจมตีที่เกิดขึ้น และดำเนินการแก้ไข

เครื่องมืออื่น ๆ ที่ผู้โจมตีใช้ได้แก่ asn, zmap, httpx, และ nuclei เพื่อตรวจสอบว่าโดเมนยังคงมีการใช้งานอยู่หรือไม่ และเปิดการสแกนหาบริการที่มีช่องโหว่ เช่น Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server, และ Solr

CRYSTALRAY ยังใช้เครื่องมือในการโจมตีเพื่อค้นหาข้อมูล credential ที่นอกเหนือไปจากเพื่อการโจมตีต่อไปยังเซิร์ฟเวอร์ที่เข้าถึงได้ผ่าน SSH

การเข้าถึงระบบที่ถูกโจมตี ทำได้โดยใช้คำสั่งจาก framework และ command-and-control (C2) ที่ถูกเรียกว่า Sliver และ reverse shell manager ที่มีชื่อเรียกว่า Platypus

เพื่อเพิ่มมูลค่าทางการเงินจากอุปกรณ์ที่ติดมัลแวร์ payloads ของ cryptocurrency miners จะถูกส่งไปติดตั้งเพื่อใช้ทรัพยากรในเครื่องของเหยื่อเพื่อให้ได้ผลประโยชน์ทางการเงิน ในขณะเดียวกันก็มีการดำเนินการที่จะพยายามหยุด cryptocurrency miners ที่มีการทำงานบนเครื่องอยู่แล้ว

นักวิจัยของ Sysdig ชื่อ Miguel Hernández ระบุว่า CRYSTALRAY สามารถค้นหา และดึงข้อมูล credential จากระบบที่มีช่องโหว่ ซึ่งจากนั้นจะถูกนำมาขายต่อในตลาดมืด (web dark) ในราคาเป็นหลักพันดอลลาร์ และข้อมูล credential ที่ถูกขายนี้อาจเกี่ยวข้องกับบริการมากมาย รวมถึงผู้ให้บริการระบบคลาวด์ และผู้ให้บริการอีเมลแบบ SaaS

ที่มา : THEHACKERNEWS