Một tác nhân đe dọa trước đây đã được quan sát bằng cách sử dụng công cụ lập bản đồ mạng nguồn mở đã mở rộng đáng kể hoạt động của họ để lây nhiễm cho hơn 1.500 nạn nhân.
Sysdig, công ty đang theo dõi cụm dưới tên CRYSTALRAY, cho biết các hoạt động đã chứng kiến sự gia tăng gấp mười lần, thêm vào đó nó bao gồm "quét hàng loạt, khai thác nhiều lỗ hổng và đặt cửa hậu bằng nhiều công cụ bảo mật [phần mềm nguồn mở].
Mục tiêu chính của các cuộc tấn công là thu thập và bán thông tin đăng nhập, triển khai các công cụ khai thác tiền điện tử và duy trì sự kiên trì trong môi trường nạn nhân. Phần lớn các ca nhiễm tập trung ở Mỹ, Trung Quốc, Singapore, Nga, Pháp, Nhật Bản và Ấn Độ, trong số những nước khác.
Nổi bật trong số các chương trình mã nguồn mở được tác nhân đe dọa sử dụng là SSH-Snake, được phát hành lần đầu tiên vào tháng 1/2024. Nó đã được mô tả như một công cụ để thực hiện truyền mạng tự động bằng cách sử dụng các khóa riêng SSH được phát hiện trên các hệ thống.
Việc lạm dụng phần mềm của CRYSTALRAY đã được công ty an ninh mạng ghi nhận vào đầu tháng Hai này, với công cụ được triển khai cho chuyển động ngang sau khi khai thác các lỗ hổng bảo mật đã biết trong các trường hợp Apache ActiveMQ và Atlassian Confluence công khai.
Joshua Rogers, nhà phát triển đằng sau SSH-Snake, nói với The Hacker News vào thời điểm đó rằng công cụ này chỉ tự động hóa những bước thủ công và kêu gọi các công ty "khám phá các con đường tấn công tồn tại - và sửa chữa chúng".
Một số công cụ khác được sử dụng bởi những kẻ tấn công bao gồm asn, zmap, httpx và nuclei để kiểm tra xem miền có hoạt động hay không và khởi chạy quét các dịch vụ dễ bị tấn công như Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server và Solr.
CRYSTALRAY cũng vũ khí hóa chỗ đứng ban đầu của mình để tiến hành một quá trình khám phá thông tin xác thực trên phạm vi rộng vượt ra ngoài việc di chuyển giữa các máy chủ có thể truy cập thông qua SSH. Truy cập liên tục vào môi trường bị xâm nhập được thực hiện bằng một khung chỉ huy và kiểm soát (C2) hợp pháp được gọi là Sliver và trình quản lý vỏ ngược có tên mã là Thú mỏ vịt.
Trong một nỗ lực tiếp theo để lấy giá trị tiền tệ từ các tài sản bị nhiễm bệnh, tải trọng của thợ đào tiền điện tử được phân phối để sử dụng bất hợp pháp các nguồn lực nạn nhân để thu lợi tài chính, đồng thời thực hiện các bước để chấm dứt các thợ đào cạnh tranh có thể đã chạy trên máy.
"CRYSTALRAY có thể phát hiện và trích xuất thông tin đăng nhập từ các hệ thống dễ bị tổn thương, sau đó được bán trên thị trường chợ đen với giá hàng ngàn đô la", nhà nghiên cứu Miguel Hernández của Sysdig cho biết. "Thông tin đăng nhập được bán liên quan đến vô số dịch vụ, bao gồm Nhà cung cấp dịch vụ đám mây và nhà cung cấp email SaaS."