CRYSTALRAY APT IOCs

security IOC

Исследователи Sysdig обнаружили нового злоумышленника под ником "CRYSTALRAY", который расширил круг своих целей до более чем 1500 жертв. Исследователи отслеживали злоумышленника с февраля. Изначально использовавший червя с открытым исходным кодом SSH-Snake для бокового перемещения по взломанным сетям, CRYSTALRAY теперь расширил масштабы своих операций, применяя массовое сканирование, используя многочисленные уязвимости и развертывая бэкдоры с помощью различных инструментов безопасности OSS.


Основным инструментом злоумышленников для сетевой пропаганды и утечки данных является SSH-змея, червь с открытым исходным кодом, который крадет приватные ключи SSH на взломанных серверах и использует их для перемещения на другие серверы, сбрасывая дополнительную полезную нагрузку на взломанные системы. Кроме того, CRYSTALRAY использует модифицированные эксплойты proof-of-concept (PoC), доставляемые на цели с помощью инструментария пост-эксплойта Sliver, и веб-менеджер Platypus для обработки нескольких обратных сессий shell. Перед запуском эксплойтов злоумышленники проводят тщательную проверку, чтобы подтвердить наличие дефектов через ядра.
В настоящее время CRYSTALRAY атакует следующие уязвимости: CVE-2022-44877 (ошибка произвольного выполнения команд в веб-панели Control), CVE-2021-3129 (ошибка произвольного выполнения кода, затрагивающая Ignition, Laravel) и CVE-2019-18394 (уязвимость подделки запросов со стороны сервера (SSRF) в Ignite Realtime Openfire). Мотивы CRYSTALRAY включают сбор и продажу учетных данных, развертывание криптомайнеров и поддержание персистентности в средах жертв.

Indicators of Compromise

IPv4

  • 157.245.193.242
  • 45.61.143.48
  • 82.153.138.26

Domains

  • aextg.us.to
  • linux.kyun.li
  • ww-1.us.to

SHA256

  • 04fec439f2f08ec1ad8352859c46f865a6353a445410208a50aa638d93f49451
  • 06bdd9a6753fba54f2772c1576f31db36f3b2b4e673be7e1ec9af3b180144eb9
  • 0841a190e50c6022100c4c56c233108aa01e5da60ba5a57c9778135f42def544
  • 08aaf6a45c17fa38958dd0ed1d9b25126315c6e0d93e7800472d0853ad696a87
  • 1da7479af017ec0dacbada52029584a318aa19ff4b945f1bb9a51472d01284ec
  • 2b945609b5be1171ff9ea8d1ffdca7d7ba4907a68c6f91d409dd41a06bb70154
  • 364a7f8e3701a340400d77795512c18f680ee67e178880e1bb1fcda36ddbc12c
  • 4dc790ef83397af9d9337d10d2e926d263654772a6584354865194a1b06ce305
  • 4f20eb19c627239aaf91c662da51ca7f298526df8e0eadccb6bbd7fc1bbcf0b3
  • 5a35b7708846f96b3fb5876f7510357c602da67417e726c702ddf1ad2e71f813
  • 673a399699ce8dad00fa2dffee2aab413948408e807977451ccd0ceaa8b00b04
  • 6a7b06ed7b15339327983dcd7102e27caf72b218bdaeb5b47d116981df093c52
  • 7be2b15b56da32dc5bdb6228c2ed5c3bf3d8fc6236b337f625e3aff73a5c11d3
  • 7d003d3f5de5044c2c5d41a083837529641bd6bed13769d635c4e7f1b9147295
  • 8cbec5881e770ecea451b248e7393dfcfc52f8fbb91d20c6e34392054490d039
  • 908d7443875f3e043e84504568263ec9c39c207ff398285e849a7b5f20304c21
  • a22b0b20052e65ad713f5c3a7427b514ee4f2388f6fda0510e3f5c9ebc78859e
  • a544d0ffd75918a4e46108db0ba112b7e95a88054ec628468876c7cf22c203a3
  • b04db92036547d08d1a8b40e45fb25f65329fef01cf854caa1b57e0bf5faa605
  • c98d1d7686b5ff56e50264442ac27d4fb443425539de98458b7cfbf6131b606f
  • da2bd678a49f428353cb570671aa04cddce239ecb98b825220af6d2acf85abe9
  • db029555a58199fa6d02cbc0a7d3f810ab837f1e73eb77ec63d5367fa772298b
  • f037d0cc0a1dc30e92b292024ba531bd0385081716cb0acd9e140944de8d3089
  • f2aef4c5f95664e88c2dd21436aa2bee4d2e7f8d32231c238e1aa407120705e4
  • fdced57d370ba188380e681351c888a31b384020dff7e029bd868f5dce732a90
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий