最近オープンソース化されたネットワークマッピングツール「SSH-Snake」が、脅威アクターによって悪意ある活動のために再利用されています。
Sysdigの研究者Miguel Hernándezは、「SSH-Snakeは、侵害されたシステムで発見されたSSH認証情報を利用してネットワーク全体に自己拡散する自己修正ワームです」と述べています。
SSH-Snakeは2024年初頭にGitHubで初めてリリースされ、開発者によってシステム上で発見されたSSHプライベートキーを使用して自動的にネットワークを横断する「強力なツール」として説明されています。
これにより、特定のホストからSSHおよびSSHプライベートキーを使用してネットワークをどの程度侵害できるかを判断するために、ネットワークとその依存関係の包括的なマップが作成されます。また、複数のIPv4アドレスを持つドメインの解決もサポートしています。
Sysdigによると、このシェルスクリプトは横断的移動を容易にするだけでなく、他の典型的なSSHワームよりも追加のステルスと柔軟性を提供します。
クラウドセキュリティ会社は、Apache ActiveMQおよびAtlassian Confluenceインスタンスの既知のセキュリティ脆弱性を積極的に悪用して初期アクセスを得て、SSH-Snakeを展開するリアルワールドの攻撃を観察しました。
SSH-Snakeの開発者であるJoshua Rogersは、このツールが正当なシステム所有者にインフラストラクチャの脆弱性を攻撃者よりも先に特定する方法を提供すると述べ、企業にSSH-Snakeを使用して存在する攻撃パスを「発見し、修正する」よう促しています。
Aquaは、Apache HadoopとApache Druidのミスコンフィギュレーションと既存の欠陥を悪用して、暗号通貨のマイニングと分散型サービス拒否(DDoS)攻撃のステージングのためのネットワークに組み込む新しいボットネットキャンペーン「Lucifer」を発見しました。
このハイブリッドクリプトジャッキングマルウェアは、Palo Alto Networks Unit 42によって2020年6月に初めて文書化され、既知のセキュリティ脆弱性を悪用してWindowsエンドポイントを侵害する能力に注目が集まりました。
過去1か月間にApacheビッグデータスタックを狙った3,000件の異なる攻撃が検出されました。これには、マイナーとルートキットを展開するために脆弱なApache Flinkインスタンスを狙うものも含まれます。
「攻撃者は、これらのサービスの既存のミスコンフィギュレーションと脆弱性を悪用することによって攻撃を実装します」とセキュリティ研究者Nitzan Yaakovは述べています。
「Apacheオープンソースソリューションは多くのユーザーと貢献者によって広く使用されています。攻撃者はこの広範な使用を、それらに対する攻撃を実装するための無尽蔵のリソースとして見るかもしれません。」
引用元:https://thehackernews.com/2024/02/cybercriminals-weaponizing-open-source.html