Recentemente, uma ferramenta de mapeamento de rede de código aberto chamada SSH-Snake foi reaproveitada por atores de ameaças para realizar atividades maliciosas.

O SSH-Snake é um worm auto-modificável que aproveita as credenciais SSH descobertas em um sistema comprometido para começar a se espalhar pela rede”, relatou o pesquisador da Sysdig, Miguel Hernández.

“O worm busca automaticamente em locais de credenciais conhecidos e em arquivos de histórico de shell para determinar seu próximo movimento.”

O SSH-Snake foi lançado pela primeira vez no GitHub no início de janeiro de 2024, e é descrito pelo seu desenvolvedor como uma “ferramenta poderosa” para realizar travessias automáticas de rede usando chaves privadas SSH descobertas em sistemas.

Ao fazer isso, ele cria um mapa abrangente de uma rede e suas dependências, ajudando a determinar até que ponto uma rede pode ser comprometida usando SSH e chaves privadas SSH a partir de um host específico. Ele também suporta a resolução de domínios que possuem múltiplos endereços IPv4.

“É completamente auto-replicante e auto-propagante e completamente sem arquivos”, de acordo com a descrição do projeto. “De muitas maneiras, o SSH-Snake é na verdade um worm, ele se replica e se espalha de um sistema para outro o máximo que pode.”

A Sysdig disse que o script de shell não só facilita o movimento lateral, mas também oferece mais furtividade e flexibilidade do que outros worms SSH típicos.

A empresa de segurança em nuvem observou que os atores de ameaças estão implantando o SSH-Snake em ataques do mundo real para coletar credenciais, os endereços IP dos alvos e o histórico de comandos bash após a descoberta de um servidor de comando e controle (C2) que hospeda os dados.

Esses ataques envolvem a exploração ativa de vulnerabilidades de segurança conhecidas em instâncias do Apache ActiveMQ e do Atlassian Confluence para obter acesso inicial e implantar o SSH-Snake.

“O uso de chaves SSH é uma prática recomendada que o SSH-Snake tenta aproveitar para se espalhar”, informou Hernández. “É mais inteligente e confiável, o que permitirá que os atores de ameaças alcancem mais longe em uma rede assim que conseguirem um ponto de apoio.”

Ao ser contatado para comentar, Joshua Rogers, o desenvolvedor do SSH-Snake, informou ao The Hacker News que a ferramenta oferece aos proprietários legítimos do sistema uma maneira de identificar fraquezas em sua infraestrutura antes que os atacantes o façam, solicitando as empresas a usar o SSH-Snake para “descobrir os caminhos de ataque que existem e corrigi-los”.

“Parece ser comumente acreditado que o ciberterrorismo ‘simplesmente acontece’ de repente nos sistemas, o que requer exclusivamente uma abordagem reativa à segurança”, informou Rogers. “Em vez disso, em minha experiência, os sistemas devem ser projetados e mantidos com medidas de segurança abrangentes.”

“Se um ciberterrorista conseguir executar o SSH-Snake em sua infraestrutura e acessar milhares de servidores, o foco deve ser colocado nas pessoas que estão encarregadas da infraestrutura, com o objetivo de revitalizar a infraestrutura de modo que a comprometimento de um único host não possa ser replicado em milhares de outros.”

Rogers também chamou a atenção para as “operações negligentes” por parte de empresas que projetam e implementam infraestruturas inseguras, que podem ser facilmente assumidas por um simples script de shell.

“Se os sistemas fossem projetados e mantidos de maneira sensata e os proprietários e companhias realmente se importassem com a segurança, as consequências de tal script sendo executado seriam minimizadas, assim como se as ações tomadas pelo SSH-Snake fossem realizadas manualmente por um atacante”, acrescentou Rogers.

“Em vez de ler políticas de privacidade e realizar entrada de dados, as equipes de segurança de empresas preocupadas com esse tipo de script assumindo toda a infraestrutura deveriam estar realizando uma re-arquitetura total de seus sistemas por especialistas em segurança treinados, não aqueles que criaram a arquitetura em primeiro lugar.”

A divulgação ocorre quando a Aqua descobriu uma nova campanha de botnet chamada Lucifer, que explora configurações inadequadas e falhas existentes no Apache Hadoop e no Apache Druid para agrupá-los em uma rede para mineração de criptomoedas e realização de ataques de negação de serviço distribuídos (DDoS).

O malware de cripto-sequestro híbrido foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em junho de 2020, chamando a atenção para sua capacidade de explorar falhas de segurança conhecidas para comprometer endpoints Windows.

Até 3.000 ataques distintos direcionados à pilha de big data Apache foram detectados no último mês, informou a empresa de segurança em nuvem. Isso também inclui aqueles que visam instâncias suscetíveis do Apache Flink para implantar mineradores e rootkits.

“O atacante implementa o ataque explorando configurações inadequadas e vulnerabilidades existentes nesses serviços”, relatou o pesquisador de segurança Nitzan Yaakov.

“As soluções de código aberto do Apache são amplamente utilizadas por muitos usuários e contribuidores. Os atacantes podem ver esse uso extensivo como uma oportunidade para ter recursos inesgotáveis para implementar seus ataques neles.”