Cyberthreat.id – Alat pemetaan jaringan bersumber terbuka yang baru-baru ini disebut SSH-Snake telah digunakan kembali oleh pelaku ancaman untuk melakukan aktivitas jahat.
“SSH-Snake adalah worm yang dapat memodifikasi dirinya sendiri yang memanfaatkan kredensial SSH yang ditemukan pada sistem yang telah disusupi untuk mulai menyebarkan dirinya ke seluruh jaringan,” kata peneliti Sysdig, Miguel Hernández.
“Worm ini secara otomatis mencari lokasi kredensial yang diketahui dan file riwayat shell untuk menentukan langkah selanjutnya.”
SSH-Snake pertama kali dirilis di GitHub pada awal Januari 2024, dan digambarkan oleh pengembangnya sebagai “alat yang ampuh” untuk melakukan traversal jaringan otomatis menggunakan kunci pribadi SSH yang ditemukan di sistem.
Dengan melakukan hal ini, ia menciptakan peta jaringan yang komprehensif dan ketergantungannya, membantu menentukan sejauh mana jaringan dapat disusupi menggunakan kunci privat SSH dan SSH yang dimulai dari host tertentu. Ini juga mendukung resolusi domain yang memiliki beberapa alamat IPv4.
“Ini sepenuhnya mereplikasi diri dan menyebarkan diri – dan sepenuhnya tanpa file,” menurut deskripsi proyek. “Dalam banyak hal, SSH-Snake sebenarnya adalah sebuah worm: Ia mereplikasi dirinya sendiri dan menyebarkan dirinya dari satu sistem ke sistem lainnya sejauh yang ia bisa.”
Sysdig mengatakan skrip shell tidak hanya memfasilitasi pergerakan lateral, tetapi juga memberikan tambahan siluman dan fleksibilitas dibandingkan worm SSH pada umumnya.
Perusahaan keamanan cloud tersebut mengatakan pihaknya mengamati pelaku ancaman yang menyebarkan SSH-Snake dalam serangan dunia nyata untuk mendapatkan kredensial, alamat IP target, dan riwayat perintah bash setelah ditemukannya server perintah dan kontrol (C2) yang menampung serangan tersebut.
Serangan ini melibatkan eksploitasi aktif terhadap kerentanan keamanan yang diketahui di instans Apache ActiveMQ dan Atlassian Confluence untuk mendapatkan akses awal dan menerapkan SSH-Snake.
“Penggunaan kunci SSH adalah praktik yang direkomendasikan yang coba dimanfaatkan oleh SSH-Snake untuk menyebarkannya,” kata Hernández. “Ini lebih cerdas dan lebih dapat diandalkan sehingga memungkinkan pelaku ancaman menjangkau lebih jauh ke dalam jaringan begitu mereka mendapatkan pijakan.”
Ketika dihubungi untuk memberikan komentar, Joshua Rogers, pengembang SSH-Snake, mengatakan kepada The Hacker News bahwa alat tersebut menawarkan kepada pemilik sistem yang sah cara untuk mengidentifikasi kelemahan dalam infrastruktur mereka sebelum penyerang melakukannya, dan mendesak perusahaan untuk menggunakan SSH-Snake untuk “menemukan serangan itu.” jalur yang ada – dan memperbaikinya.”
“Tampaknya secara umum diyakini bahwa terorisme dunia maya ‘terjadi begitu saja’ secara tiba-tiba pada sistem, dan hal ini hanya memerlukan pendekatan reaktif terhadap keamanan,” kata Rogers. “Sebaliknya, berdasarkan pengalaman saya, sistem harus dirancang dan dipelihara dengan langkah-langkah keamanan yang komprehensif.”
“Jika seorang teroris siber mampu menjalankan SSH-Snake di infrastruktur Anda dan mengakses ribuan server, fokusnya harus diberikan pada orang-orang yang bertanggung jawab atas infrastruktur tersebut, dengan tujuan merevitalisasi infrastruktur sedemikian rupa sehingga kompromi terhadap satu server dapat dikompromikan. host tidak dapat direplikasi ke ribuan host lainnya.”
Rogers juga meminta perhatian pada “operasi lalai” yang dilakukan oleh perusahaan yang merancang dan mengimplementasikan infrastruktur yang tidak aman, yang dapat dengan mudah diambil alih oleh skrip shell sederhana.
“Jika sistem dirancang dan dipelihara dengan cara yang wajar dan pemilik/perusahaan sistem benar-benar peduli terhadap keamanan, dampak dari eksekusi skrip seperti itu akan diminimalkan – begitu juga jika tindakan yang diambil oleh SSH-Snake dilakukan secara manual oleh penyerang. ,” tambah Rogers.
“Daripada membaca kebijakan privasi dan melakukan entri data, tim keamanan perusahaan yang khawatir dengan jenis skrip yang mengambil alih seluruh infrastruktur mereka harus melakukan re-arsitektur total pada sistem mereka oleh spesialis keamanan terlatih – bukan mereka yang pertama kali menciptakan arsitektur tersebut. tempat.”
Pengungkapan ini terjadi ketika Aqua menemukan kampanye botnet baru bernama Lucifer yang mengeksploitasi kesalahan konfigurasi dan kelemahan yang ada di Apache Hadoop dan Apache Druid untuk memasukkan mereka ke dalam jaringan untuk menambang mata uang kripto dan melakukan serangan penolakan layanan terdistribusi (DDoS).
Malware hybrid cryptojacking pertama kali didokumentasikan oleh Palo Alto Networks Unit 42 pada bulan Juni 2020, menarik perhatian pada kemampuannya mengeksploitasi kelemahan keamanan yang diketahui untuk menyusupi titik akhir Windows.
Sebanyak 3.000 serangan berbeda yang ditujukan pada tumpukan data besar Apache telah terdeteksi selama sebulan terakhir, kata perusahaan keamanan cloud tersebut. Ini juga mencakup instans Apache Flink yang rentan untuk menyebarkan penambang dan rootkit.
“Penyerang menerapkan serangan dengan mengeksploitasi kesalahan konfigurasi dan kerentanan yang ada pada layanan tersebut,” kata peneliti keamanan Nitzan Yaakov.
“Solusi sumber terbuka Apache banyak digunakan oleh banyak pengguna dan kontributor. Penyerang mungkin melihat penggunaan ekstensif ini sebagai peluang untuk memiliki sumber daya yang tidak ada habisnya untuk menerapkan serangan terhadap mereka.”[]
