SSH-スネークワーム

オープンソース化された SSH-Snake という名前のネットワーク マッピング ツールが、詐欺関連の攻撃者によって攻撃活動に再利用されています。 SSH-Snake は自己変更型ワームとして機能し、侵害されたシステムから取得した SSH 認証情報を利用して、標的のネットワーク全体に伝播します。このワームは、認識された認証情報リポジトリとシェル履歴ファイルを自律的にスキャンして、その後のアクションを特定します。

SSH-Snake ワームは被害者のネットワーク全体に拡散

2024 年 1 月初旬に GitHub でリリースされた SSH-Snake は、さまざまなシステムで検出された SSH 秘密キーを使用して、自動ネットワーク トラバーサルを行うために設計された強力なツールとして開発者によって特徴づけられています。

このツールは、ネットワークとその依存関係の詳細なマップを生成し、特定のホストから発信される SSH および SSH 秘密キーを介した潜在的な侵害の評価に役立ちます。さらに、SSH-Snake には、複数の IPv4 アドレスを持つドメインを解決する機能があります。

完全に自己複製するファイルレスのエンティティとして機能する SSH-Snake は、自律的に複製し、システム全体に拡散するワームにたとえることができます。このシェル スクリプトは、横方向の移動を容易にするだけでなく、従来の SSH ワームと比較してステルス性と柔軟性を強化します。

SSH-Snake ツールがサイバー犯罪活動に悪用される

研究者らは、脅威アクターが実際のサイバー攻撃で SSH-Snake を使用して資格情報、ターゲット IP アドレス、および bash コマンド履歴を収集した例を特定しました。この問題は、取得したデータをホストしているコマンド アンド コントロール (C2) サーバーの特定後に発生しました。この攻撃には、Apache ActiveMQ および Atlassian Confluence インスタンスの既知のセキュリティ脆弱性を積極的に悪用して、初期アクセスを確立し、SSH-Snake を展開することが含まれます。

SSH-Snake は、推奨される SSH キーの使用方法を利用して拡散を強化します。このアプローチは、よりインテリジェントで信頼性が高いと考えられており、攻撃者が足場を確立すると、ネットワーク内での範囲を拡大することができます。

SSH-Snake の開発者は、このツールが正規のシステム所有者に、潜在的な攻撃者が積極的に攻撃する前にインフラストラクチャの弱点を特定する手段を提供すると強調しています。企業には、SSH-Snake を活用して既存の攻撃経路を明らかにし、それに対処するための修正措置を講じることが推奨されます。

サイバー犯罪者は、違法な目的のために正規のソフトウェアを悪用することがよくあります

サイバー犯罪者は、次のような理由から、危険なアクティビティや攻撃操作のために正規のソフトウェア ツールを悪用することがよくあります。

これらの脅威に対抗するために、組織は、継続的な監視、行動ベースの検出、ユーザー教育、サイバー犯罪者によって悪用される可能性のある脆弱性を軽減するためのソフトウェアとシステムの最新の維持など、多層的なセキュリティ行動ラインを実装する必要があります。