CRYSTALRAY 劲增的攻击规模

关键要点

• CRYSTALRAY 攻击已影响超过 1,500 个系统，攻击规模比二月出现时增加了十倍。
• 该攻击利用多个开源工具，如 Sliver 工具包和 SSH-Snake 蠕虫。
• 攻击者主要针对多个已知漏洞，包括 CVE-2022-44877 和 CVE-2021-3129。
• CRYSTALRAY 在被侵入系统中获取了密钥，并利用它们进行自我扩散。

根据 ，CRYSTALRAY威胁运作已经导致超过 1,500 名用户的凭据被泄露，并针对系统发动加密货币挖矿的攻击，自二月以来，攻击规模达到十倍的增长。

CRYSTALRAY 的攻击使用了数个开源软体工具，包括 Sliver 后渗透工具包，这些工具用于分发针对受 Control Web Panel任意命令执行漏洞（CVE-2022-44877）、Ignition 任意代码执行问题（CVE-2021-3129）和 Ignite RealtimeOpenfire 伺服器端请求伪造缺陷（CVE-2019-18394）等系统的修改型概念验证漏洞。此外，还涉及到易受攻击的 AtlassianConfluence 实例。根据 Sysdig 的分析，被渗透的系统将管理多个反向 shell 会话，并使用名为 Platypus的网页管理工具进行进一步的妥协。

一方面，SSH-Snake 蠕虫利用提取的 SSH密钥不断攻击新主机并进行自我扩散，同时向攻击者的指挥控制伺服器传送密钥。另一方面，除了窃取配置文件和环境变数凭据之外，CRYSTALRAY还在被侵入的系统中赚取加密货币挖矿的活动，这为研究者提供了更多的见解。

总结 ：CRYSTALRAY 威胁运作的迅速扩展表明，针对业界多个系统和应用程序的攻击正日益猖獗，这提醒企业加强对已知漏洞的防范和系统安全检测，以保护关键资源。