Một công cụ lập bản đồ mạng nguồn mở gần đây được gọi là SSH-Snake đã được các tác nhân đe dọa sử dụng lại để tiến hành các hoạt động độc hại.
"SSH-Snake là một sâu tự sửa đổi tận dụng thông tin SSH được phát hiện trên một hệ thống bị xâm nhập để bắt đầu lây lan khắp mạng", nhà nghiên cứu Miguel Hernández của Sysdig cho biết.
"Sâu tự động tìm kiếm thông qua các vị trí thông tin xác thực đã biết và các tệp lịch sử shell để xác định động thái tiếp theo của nó."
SSH-Snake được phát hành lần đầu tiên trên GitHub vào đầu tháng 1/2024 và được nhà phát triển mô tả là "công cụ mạnh mẽ" để thực hiện truyền mạng tự động bằng khóa riêng SSH được phát hiện trên hệ thống.
Khi làm như vậy, nó tạo ra một bản đồ toàn diện về mạng và các phụ thuộc của nó, giúp xác định mức độ mà mạng có thể bị xâm phạm bằng cách sử dụng khóa riêng SSH và SSH bắt đầu từ một máy chủ cụ thể. Nó cũng hỗ trợ độ phân giải của các miền có nhiều địa chỉ IPv4.
"Nó hoàn toàn tự sao chép và tự lan truyền - và hoàn toàn không có hồ sơ", theo mô tả của dự án. "Theo nhiều cách, SSH-Snake thực sự là một con sâu: Nó tự sao chép và lây lan từ hệ thống này sang hệ thống khác càng xa càng tốt."
Sysdig cho biết kịch bản shell không chỉ tạo điều kiện cho chuyển động bên mà còn cung cấp thêm khả năng tàng hình và linh hoạt so với các sâu SSH điển hình khác.
Công ty bảo mật đám mây cho biết họ đã quan sát thấy các tác nhân đe dọa triển khai SSH-Snake trong các cuộc tấn công trong thế giới thực để thu thập thông tin đăng nhập, địa chỉ IP của các mục tiêu và lịch sử lệnh bash sau khi phát hiện ra máy chủ chỉ huy và kiểm soát (C2) lưu trữ dữ liệu.
Các cuộc tấn công này liên quan đến việc khai thác tích cực các lỗ hổng bảo mật đã biết trong các phiên bản Apache ActiveMQ và Atlassian Confluence để có quyền truy cập ban đầu và triển khai SSH-Snake.
"Việc sử dụng các khóa SSH là một thực tế được khuyến nghị mà SSH-Snake cố gắng tận dụng để lây lan", Hernández nói. "Nó thông minh hơn và đáng tin cậy hơn, điều này sẽ cho phép các tác nhân đe dọa tiếp cận xa hơn vào mạng một khi họ có được chỗ đứng."
Khi được đưa ra bình luận, Joshua Rogers, nhà phát triển SSH-Snake, nói với The Hacker News rằng công cụ này cung cấp cho chủ sở hữu hệ thống hợp pháp một cách để xác định điểm yếu trong cơ sở hạ tầng của họ trước khi kẻ tấn công làm, kêu gọi các công ty sử dụng SSH-Snake để "khám phá các đường tấn công tồn tại - và sửa chữa chúng".
"Dường như người ta thường tin rằng khủng bố mạng 'chỉ xảy ra' đột ngột đối với các hệ thống, điều này chỉ đòi hỏi một cách tiếp cận phản ứng đối với bảo mật", Rogers nói. "Thay vào đó, theo kinh nghiệm của tôi, các hệ thống nên được thiết kế và duy trì với các biện pháp bảo mật toàn diện."
"Nếu một kẻ khủng bố mạng có thể chạy SSH-Snake trên cơ sở hạ tầng của bạn và truy cập hàng ngàn máy chủ, nên tập trung vào những người phụ trách cơ sở hạ tầng, với mục tiêu hồi sinh cơ sở hạ tầng sao cho sự thỏa hiệp của một máy chủ duy nhất không thể được sao chép trên hàng ngàn máy chủ khác."
Rogers cũng kêu gọi sự chú ý đến "các hoạt động cẩu thả" của các công ty thiết kế và triển khai cơ sở hạ tầng không an toàn, có thể dễ dàng bị chiếm đoạt bởi một kịch bản shell đơn giản.
"Nếu các hệ thống được thiết kế và duy trì một cách lành mạnh và chủ sở hữu hệ thống / công ty thực sự quan tâm đến bảo mật, bụi phóng xạ từ một kịch bản như vậy được thực thi sẽ được giảm thiểu - cũng như nếu các hành động được thực hiện bởi SSH-Snake được thực hiện thủ công bởi kẻ tấn công", Rogers nói thêm.
Thay vì đọc các chính sách bảo mật và thực hiện nhập dữ liệu, các nhóm bảo mật của các công ty lo lắng về loại tập lệnh này chiếm toàn bộ cơ sở hạ tầng của họ nên thực hiện tái cấu trúc toàn bộ hệ thống của họ bởi các chuyên gia bảo mật được đào tạo - chứ không phải những người tạo ra kiến trúc ngay từ đầu.
Tiết lộ được đưa ra khi Aqua phát hiện ra một chiến dịch botnet mới có tên Lucifer khai thác các cấu hình sai và các lỗ hổng hiện có trong Apache Hadoop và Apache Druid để tập hợp chúng vào một mạng lưới khai thác tiền điện tử và dàn dựng các cuộc tấn công từ chối dịch vụ phân tán (DDoS).
Phần mềm độc hại cryptojacking lai lần đầu tiên được Palo Alto Networks Unit 42 ghi nhận vào tháng 6 năm 2020, kêu gọi sự chú ý đến khả năng khai thác các lỗ hổng bảo mật đã biết để xâm phạm các điểm cuối Windows.