ysdig 연구자들에 따르면, 새로운 위협 행위자인 CRYSTALRAY가 새로운 전략과 취약점을 활용하여 공격 대상을 크게 확장하였습니다. 이로 인해 1,500명 이상의 피해자들의 자격증명이 도난당하고 암호화폐 채굴기가 배포되었습니다. CRYSTALRAY는 SSH-Snake라는 오픈소스 웜을 사용하여 침해된 네트워크에서 측면 이동하면서 퍼져나갔습니다. 이 웜은 침해된 서버에서 SSH 개인 키를 훔치고, 이를 사용하여 다른 서버로 이동하면서 침해된 시스템에 추가적인 페이로드를 떨어뜨립니다.
CRYSTALRAY는 취약점을 이용하여 대량 스캔을 수행하고, 여러 OSS 보안 도구를 사용하여 백도어를 설치하는 등의 작업을 통해 그들의 작업을 크게 확장하였습니다. 이들의 목표는 자격증명을 수집하고 판매하며, 암호화폐 채굴기를 배포하고 피해자 환경에서 지속성을 유지하는 것입니다. CRYSTALRAY가 현재 공격하는 취약점에는 Control Web Panel, Ignition (Laravel), Ignite Realtime Openfire 등의 취약점이 포함되어 있습니다.
SSH-Snake 웜은 SSH 키를 회수한 후, 이를 사용하여 새로운 시스템에 로그인하고, 자신을 복사하여 새 호스트에서 프로세스를 반복합니다. 또한, 이 웜은 감염을 퍼뜨리는 것뿐만 아니라, 캡처된 키와 bash 히스토리를 CRYSTALRAY의 명령 및 제어 서버로 되돌려 보내, 공격의 다양성을 높입니다.
요약
- 새로운 위협 액터인 CRYSTALRAY가 새로운 전략과 취약점을 활용하여 공격 대상을 크게 확장하였다.
- CRYSTALRAY는 SSH-Snake라는 오픈소스 웜을 사용하여 침해된 네트워크에서 가로로 퍼져나갔다.
- CRYSTALRAY는 취약점을 이용하여 대량 스캔을 수행하고, 여러 OSS 보안 도구를 사용하여 백도어를 설치하는 등의 작업을 통해 그들의 작업을 크게 확장하였다.
- SSH-Snake 웜은 SSH 키를 회수한 후, 이를 사용하여 새로운 시스템에 로그인하고, 자신을 복사하여 새 호스트에서 프로세스를 반복한다.
- CRYSTALRAY의 명령 및 제어 서버로 캡처된 키와 bash 히스토리를 되돌려 보내, 공격의 다양성을 높인다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.