One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8535777 |
| Date de publication | 2024-07-12 14:55:44 (vue: 2024-07-12 15:08:39) |
| Titre | Crystalray Hacker s'étend à 1 500 systèmes violés à l'aide de l'outil SSH-Snake CRYSTALRAY hacker expands to 1,500 breached systems using SSH-Snake tool |
| Texte | ## Instantané Les chercheurs de Sysdig ont identifié un nouvel acteur de menace, "Crystalray", qui a élargi leur portée de ciblage à plus de 1 500 victimes.Les chercheurs ont suivi l'acteur de menace depuis février.Initialement, l'utilisation du ver open-source SSH-Sake pour se déplacer latéralement sur les réseaux violés, Crystalray a maintenant augmenté ses opérations, utilisant un scanner de masse, exploitant plusieurs vulnérabilités et déploiement de déchets à l'aide de divers outils de sécurité OSS. ## Description Le principal outil principal de l'acteur de menace pour la propogande du réseau et l'exfiltration des données est le SSH-Sake, un ver open source qui vole les clés privées SSH sur les serveurs compromis et les utilise pour se déplacer latéralement vers d'autres serveurs tout en supprimant des charges utiles supplémentaires sur les systèmes infiltrés.Additionally, CRYSTALRAY uses modified proof-of-concept (PoC) exploits delivered to targets using the [Sliver post-exploitation toolkit](https://security.microsoft.com/intel-profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c), and the Platypus web-basedGestionnaire pour gérer plusieurs séances de shell inverse.Avant de lancer les exploits, les attaquants effectuent des vérifications approfondies pour confirmer les défauts à travers les noyaux. Les vulnérabilités cibles de cristalray dans ses opérations actuelles sont: [CVE-2022-44877] (https://security.microsoft.com/intel-Explorer / cves / cve-2022-44877 /) (Arbitrary Command Exécution Flaw in Control Web Pannel), [CVE-2021-3129] (https://security.microsoft.com/intel-explorer/cves/cve-2021-3129 /) (Bogue d'exécution de code arbitraire impactant l'allumage,Laravel), et [CVE-2019-18394] (https://security.microsoft.com/intel-explorer/cves/cve-2019-18394/) (Forgeron de la demande de serveur (SSRF).Les motivations de Crystalray comprennent la collecte et la vente de références, le déploiement de cryptomineurs et le maintien de la persistance dans les environnements victimes. ## Recommandations Microsoft vous recommande de valider l'applicabilité avant de mettre en œuvre dans votre propre environnement. CVE-2022-44877 [Exécutez "Yum Update" sur votre système] (https://security.microsoft.com/intel-explorer/articles/aeca0c35) pour appliquer la mise à jour 0.9.8.1147 à votre système à l'aide du repo personnalisé ajouté par le vendeur \\ 'S script d'installation.Les OSO plus récentes peuvent utiliser "Update DNF" au lieu de la commande YUM. Microsoft recommande les atténuations suivantes pour réduire l'impact des menaces d'information sur les voleurs. - Allumez [Protection en livraison du cloud] (https://learn.microsoft.com/microsoft-365/security/defender-endpoint/configure-lock-at-first-sight-microsoft-defender-asvirus?ocid=magicti_ta_learndoc)Dans Microsoft Defender Antivirus, ou l'équivalent de votre produit antivirus, pour couvrir les outils et techniques d'attaquant en évolution rapide.Les protections d'apprentissage automatique basées sur le cloud bloquent une majorité de variantes nouvelles et inconnues. - appliquer le MFA sur tous les comptes, supprimer les utilisateurs exclus de la MFA et strictement [exiger MFA] (https://learn.microsoft.com/azure/active-directory/identity-protection/howto-identity-protection-configure-mfa-Politique? OCID = magicti_ta_learndoc) de tous les appareils, à tous les endroits, à tout moment. - Activer les méthodes d'authentification sans mot de passe (par exemple, Windows Hello, FIDO Keys ou Microsoft Authenticator) pour les comptes qui prennent en charge sans mot de passe.Pour les comptes qui nécessitent toujours des mots de passe, utilisez des applications Authenticatrices comme Microsoft Authenticator pour MFA.[Reportez-vous à cet article] (https://learn.microsoft.com/azure/active-directory/authentication/concept-authentication-methods?ocid=Magicti_ta_learndoc) pour les différentes méthodes et fonctionnalités d'authentificatio |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | 1147 18394 18394/ 2019 2021 2022 2024 3129 3129/ 365/security/defender 44877 44877/ 500 accessed accounts actor added additional additionally advice: age all antivirus app applicability apply apps arbitrary are are: article attack attacker attackers authentication authenticator backdoors based before bleepingcomputer block breached browser browsers bug bullet can checks classes clicking cloud code collecting com/azure/active com/blog/crystalray com/deployedge/microsoft com/intel com/microsoft com/news/security/crystalray command common compromised concept conduct configure confirm control cover credential credentials criterion cryptominers crystalray crystalray: current custom customers cve data defender delivered deploying description devices different directory/authentication/concept directory/authentication/how directory/identity dnf dropping due edge employees employing enable enabled endpoint/attack endpoint/configure endpoint/detect enforce ensure enterprise entire environment environments equivalent even evolving example excluded executable execution exfiltration expanded expands exploitation exploiting exploits explorer/articles/aeca0c35 explorer/cves/cve features february fido files first flaw flaws following forgery from group guidance hacker handle has have hello https://learn https://security https://sysdig https://www identified identity ignite ignition impact impacting implementing include including infections information infostealer infostealers initially inside installation instead intrusions its keys laravel laterally launching learndoc learndoc#block learning like list locations machine maintaining majority managed manager many mass match may meet methods mfa microsoft mitigation mitigations mode modified more motivations move multiple network networks new newer not now nuclei number obfuscated ocid=magicti off offer open openfire operations organizations oses oss other over own panel password passwordless passwords payloads persistence personal phones platypus poc points policies policy possible post potentially prevalence prevent primary private product profiles/7b3299451d6740a9ce460a67156d8be84c0308fd6e5ccafccdb368da9f06c95c prompt proof propoganda protection protection/howto protections pua ransomware rapidly realtime recommendations recommends reduce reduction refer reference references remind remove repo request require requires researchers reverse rising rules run running scaled scanning scope script scripts secured security selling server servers sessions settings shell should side sight since sliver snake snapshot source specific ssh ssrf stealer steals stop stored strictly succeeded support surface sweeping sync#sync syncing sysdig sysig system systems targeting targets techniques theft them thorough threat threats through times tool tool/ toolkit tools tools/ tracked trusted turn typed unknown unless unwanted update use used users uses using validate variants various vaults vendor victim victims vulnerabilities vulnerability web when where who windows workplace worm your yum “yes” |
| Tags | Ransomware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.