Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Cresce la Minaccia del Gruppo CRYSTALRAY sulle Infrastrutture Cloud

Sandro Sana : 14 Luglio 2024 09:05

Negli ultimi mesi, Sysdig ha osservato un incremento significativo delle attività del gruppo CRYSTALRAY, un’organizzazione criminale specializzata in attacchi contro ambienti cloud. Il numero di vittime attribuite a CRYSTALRAY è aumentato vertiginosamente da 100 a 1500, segnalando una minaccia in rapida espansione.

Metodi di Attacco e Strumenti Utilizzati

CRYSTALRAY è noto per utilizzare il worm open-source SSH-Snake, che ruba le chiavi SSH dai server compromessi per muoversi lateralmente tra diverse macchine, rilasciando carichi malevoli aggiuntivi. Questo worm non solo si replica attraverso la rete, ma invia anche le chiavi rubate e la cronologia bash al server di comando e controllo del gruppo, facilitando attacchi più sofisticati e mirati.

Strumenti di Attacco

  • SSH-Snake: Un worm open-source che ruba chiavi SSH e si diffonde lateralmente nelle reti compromesse. Utilizza le chiavi SSH per accedere a nuovi sistemi e replicarsi, inviando informazioni rubate al server di comando e controllo di CRYSTALRAY.
  • zmap: Uno scanner di rete open-source in grado di scansionare l’intero spazio di indirizzi IPv4 pubblico in meno di un’ora. CRYSTALRAY lo utilizza per identificare server vulnerabili esposti a Internet.
  • asn: Uno strumento che aiuta a identificare i sistemi autonomi e mappare la topologia della rete, facilitando l’identificazione dei target all’interno di specifiche aree geografiche o organizzazioni.
  • https:  Uno strumento di rilevamento di applicazioni web che permette di eseguire scansioni HTTP su larga scala. CRYSTALRAY lo utilizza per identificare applicazioni web vulnerabili.
  • nuclei: Uno strumento per l’esecuzione di template di vulnerabilità su larga scala, che permette di automatizzare la scoperta e l’esecuzione di exploit per vulnerabilità note.
  • platypus:  Un gestore di shell inversa che permette di mantenere sessioni persistenti sui sistemi compromessi. Viene utilizzato per gestire diverse sessioni di controllo remoto contemporaneamente.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Tecniche di Attacco

  • Scansione Massiva* Utilizzando strumenti come zmap e httpx, CRYSTALRAY esegue scansioni su larga scala per identificare servizi e applicazioni vulnerabili esposti a Internet.
  • Sfruttamento delle Vulnerabilità: Il gruppo sfrutta vulnerabilità note come CVE-2022-44877, CVE-2021-3129 e CVE-2019-18394 per ottenere accesso iniziale ai sistemi. Utilizza nuclei per automatizzare questo processo.
  • Movimento Laterale: Una volta compromesso un sistema, SSH-Snake utilizza le chiavi SSH rubate per accedere ad altri sistemi nella rete, espandendo la compromissione e distribuendo ulteriori payload.
  • Persistenza: Utilizzando platypus, CRYSTALRAY mantiene l’accesso persistente ai sistemi compromessi, permettendo il controllo remoto continuato e l’esfiltrazione di dati.
  • Monetizzazione: Il gruppo monetizza le compromissioni vendendo le credenziali rubate nel dark web o su piattaforme come Telegram e distribuendo miner di criptovaluta per generare profitti aggiuntivi.

Vulnerabilità Sfruttate

CRYSTALRAY sfrutta varie vulnerabilità note, tra cui:

  • CVE-2022-44877: Esecuzione di comandi arbitrari nel Control Web Panel (CWP). Questa vulnerabilità permette agli attaccanti di eseguire comandi con i privilegi dell’utente web, ottenendo potenzialmente il controllo completo del sistema.
  • CVE-2021-3129: Vulnerabilità di esecuzione di codice remoto in Ignition (Laravel). Gli attaccanti possono sfruttare questa vulnerabilità per eseguire codice arbitrario sul server compromesso.
  • CVE-2019-18394: Vulnerabilità SSRF in Ignite Realtime Openfire. Questa vulnerabilità permette agli attaccanti di inviare richieste arbitrarie da parte del server vulnerabile, potenzialmente accedendo a risorse interne o esfiltrando dati.

Inoltre, si sospetta che anche le soluzioni Atlassian Confluence siano bersagliate, sulla base di modelli di sfruttamento osservati contro 1800 indirizzi IP, di cui un terzo situati negli Stati Uniti.

Obiettivi e Conseguenze

L’obiettivo principale di CRYSTALRAY è il furto e la monetizzazione delle credenziali rubate, spesso vendute nel dark web o su Telegram. Il gruppo distribuisce anche criptominer per generare profitti ulteriori. La recente espansione dell’attività di CRYSTALRAY ha portato a un aumento delle minacce contro le infrastrutture cloud, evidenziando la necessità di misure di sicurezza più rigorose.

Raccomandazioni per la Sicurezza

Per contrastare efficacemente CRYSTALRAY, Sysdig consiglia di minimizzare la superficie di attacco attraverso aggiornamenti tempestivi delle patch di sicurezza per eliminare le vulnerabilità non appena scoperte. Inoltre, l’adozione di pratiche di sicurezza come il monitoraggio continuo e la gestione delle identità e degli accessi può ridurre significativamente il rischio di compromissioni.

Ulteriori Informazioni dal Rapporto 2024 di Sysdig

Dal rapporto del 2024 di Sysdig (https://sysdig.com/2024-cloud-native-security-and-usage-report/), emergono ulteriori tendenze sulla sicurezza cloud-native:

  • Gestione delle identità: È il rischio cloud più trascurato, e l’applicazione del principio del minimo privilegio può ridurre le possibilità di attacchi basati su escalation di privilegi.
  • Sicurezza durante il runtime: Rimane essenziale poiché permette di ridurre le vulnerabilità critiche e alte del 50%.
  • Container di breve durata: Presentano sempre un rischio perché gli attaccanti possono sfruttare le finestre di opportunità per infiltrarsi e muoversi lateralmente prima che il container venga terminato.

Conclusioni

L’aumento delle attività di CRYSTALRAY rappresenta una seria minaccia per le infrastrutture cloud. La capacità del gruppo di sfruttare vulnerabilità note, utilizzare strumenti open-source per piazzare backdoor e muoversi lateralmente nelle reti compromesse richiede una risposta robusta e tempestiva da parte delle organizzazioni. Implementare misure di sicurezza adeguate, mantenere aggiornati i sistemi e adottare pratiche di gestione delle identità efficaci sono passi cruciali per mitigare questi rischi. La consapevolezza e la preparazione sono essenziali per proteggere le infrastrutture cloud dalle minacce in continua evoluzione come quelle rappresentate da CRYSTALRAY.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.
Visita il sito web dell'autore

Articoli in evidenza

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006