Recentemente, uma ferramenta de mapeamento de rede de c\u00f3digo aberto chamada SSH-Snake foi reaproveitada por atores de amea\u00e7as para realizar atividades maliciosas.<\/p>\n
\u00a0<\/p>\n
O SSH-Snake \u00e9 um worm auto-modific\u00e1vel que aproveita as credenciais SSH descobertas em um sistema comprometido para come\u00e7ar a se espalhar pela rede”, relatou o pesquisador da Sysdig, Miguel Hern\u00e1ndez.<\/p>\n
\u00a0<\/p>\n
“O worm busca automaticamente em locais de credenciais conhecidos e em arquivos de hist\u00f3rico de shell para determinar seu pr\u00f3ximo movimento.”<\/p>\n
\u00a0<\/p>\n
O SSH-Snake foi lan\u00e7ado pela primeira vez no GitHub no in\u00edcio de janeiro de 2024, e \u00e9 descrito pelo seu desenvolvedor como uma “ferramenta poderosa” para realizar travessias autom\u00e1ticas de rede usando chaves privadas SSH descobertas em sistemas.<\/p>\n
\u00a0<\/p>\n
Ao fazer isso, ele cria um mapa abrangente de uma rede e suas depend\u00eancias, ajudando a determinar at\u00e9 que ponto uma rede pode ser comprometida usando SSH e chaves privadas SSH a partir de um host espec\u00edfico. Ele tamb\u00e9m suporta a resolu\u00e7\u00e3o de dom\u00ednios que possuem m\u00faltiplos endere\u00e7os IPv4.<\/p>\n
\u00a0<\/p>\n
“\u00c9 completamente auto-replicante e auto-propagante e completamente sem arquivos”, de acordo com a descri\u00e7\u00e3o do projeto. “De muitas maneiras, o SSH-Snake \u00e9 na verdade um worm, ele se replica e se espalha de um sistema para outro o m\u00e1ximo que pode.”<\/p>\n
\u00a0<\/p>\n
A Sysdig disse que o script de shell n\u00e3o s\u00f3 facilita o movimento lateral, mas tamb\u00e9m oferece mais furtividade e flexibilidade do que outros worms SSH t\u00edpicos.<\/p>\n
\u00a0<\/p>\n
A empresa de seguran\u00e7a em nuvem observou que os atores de amea\u00e7as est\u00e3o implantando o SSH-Snake em ataques do mundo real para coletar credenciais, os endere\u00e7os IP dos alvos e o hist\u00f3rico de comandos bash ap\u00f3s a descoberta de um servidor de comando e controle (C2) que hospeda os dados.<\/p>\n
\u00a0<\/p>\n
Esses ataques envolvem a explora\u00e7\u00e3o ativa de vulnerabilidades de seguran\u00e7a conhecidas em inst\u00e2ncias do Apache ActiveMQ e do Atlassian Confluence para obter acesso inicial e implantar o SSH-Snake.<\/p>\n
\u00a0<\/p>\n
“O uso de chaves SSH \u00e9 uma pr\u00e1tica recomendada que o SSH-Snake tenta aproveitar para se espalhar”, informou Hern\u00e1ndez. “\u00c9 mais inteligente e confi\u00e1vel, o que permitir\u00e1 que os atores de amea\u00e7as alcancem mais longe em uma rede assim que conseguirem um ponto de apoio.”<\/p>\n
\u00a0<\/p>\n
Ao ser contatado para comentar, Joshua Rogers, o desenvolvedor do SSH-Snake, informou ao The Hacker News que a ferramenta oferece aos propriet\u00e1rios leg\u00edtimos do sistema uma maneira de identificar fraquezas em sua infraestrutura antes que os atacantes o fa\u00e7am, solicitando as empresas a usar o SSH-Snake para “descobrir os caminhos de ataque que existem e corrigi-los”.<\/p>\n
\u00a0<\/p>\n
“Parece ser comumente acreditado que o ciberterrorismo ‘simplesmente acontece’ de repente nos sistemas, o que requer exclusivamente uma abordagem reativa \u00e0 seguran\u00e7a”, informou Rogers. “Em vez disso, em minha experi\u00eancia, os sistemas devem ser projetados e mantidos com medidas de seguran\u00e7a abrangentes.”<\/p>\n
\u00a0<\/p>\n
“Se um ciberterrorista conseguir executar o SSH-Snake em sua infraestrutura e acessar milhares de servidores, o foco deve ser colocado nas pessoas que est\u00e3o encarregadas da infraestrutura, com o objetivo de revitalizar a infraestrutura de modo que a comprometimento de um \u00fanico host n\u00e3o possa ser replicado em milhares de outros.”<\/p>\n
\u00a0<\/p>\n
Rogers tamb\u00e9m chamou a aten\u00e7\u00e3o para as “opera\u00e7\u00f5es negligentes” por parte de empresas que projetam e implementam infraestruturas inseguras, que podem ser facilmente assumidas por um simples script de shell.<\/p>\n
\u00a0<\/p>\n
“Se os sistemas fossem projetados e mantidos de maneira sensata e os propriet\u00e1rios e companhias realmente se importassem com a seguran\u00e7a, as consequ\u00eancias de tal script sendo executado seriam minimizadas, assim como se as a\u00e7\u00f5es tomadas pelo SSH-Snake fossem realizadas manualmente por um atacante”, acrescentou Rogers.<\/p>\n
\u00a0<\/p>\n
“Em vez de ler pol\u00edticas de privacidade e realizar entrada de dados, as equipes de seguran\u00e7a de empresas preocupadas com esse tipo de script assumindo toda a infraestrutura deveriam estar realizando uma re-arquitetura total de seus sistemas por especialistas em seguran\u00e7a treinados, n\u00e3o aqueles que criaram a arquitetura em primeiro lugar.”<\/p>\n
\u00a0<\/p>\n
A divulga\u00e7\u00e3o ocorre quando a Aqua descobriu uma nova campanha de botnet chamada Lucifer, que explora configura\u00e7\u00f5es inadequadas e falhas existentes no Apache Hadoop e no Apache Druid para agrup\u00e1-los em uma rede para minera\u00e7\u00e3o de criptomoedas e realiza\u00e7\u00e3o de ataques de nega\u00e7\u00e3o de servi\u00e7o distribu\u00eddos (DDoS).<\/p>\n
\u00a0<\/p>\n
O malware de cripto-sequestro h\u00edbrido foi documentado pela primeira vez pela Palo Alto Networks Unit 42 em junho de 2020, chamando a aten\u00e7\u00e3o para sua capacidade de explorar falhas de seguran\u00e7a conhecidas para comprometer endpoints Windows.<\/p>\n
\u00a0<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n
![\"Lucifer](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjqTheGYGdici2P-KFmMdTw-RWO8e7KTitzwn-cDx6sLOyscKtPUdHzdqejnp5-yuG4AHCmFi4WSsPjCaSWFye689lg4OS0zaKS3qvJsB_-W1dX5WL5le7Uxh08ogI6DqITK5YpcuaZZ0xBSTFd9g1zD3Y6HV1LphCloCaebaHHqUsKOsWOB32ns5l0nbpF\/s728-rw-e365\/botnet.jpg\")
<\/p>\n
\u00a0<\/p>\n
At\u00e9 3.000 ataques distintos direcionados \u00e0 pilha de big data Apache foram detectados no \u00faltimo m\u00eas, informou a empresa de seguran\u00e7a em nuvem. Isso tamb\u00e9m inclui aqueles que visam inst\u00e2ncias suscet\u00edveis do Apache Flink para implantar mineradores e rootkits.<\/p>\n
\u00a0<\/p>\n
“O atacante implementa o ataque explorando configura\u00e7\u00f5es inadequadas e vulnerabilidades existentes nesses servi\u00e7os”, relatou o pesquisador de seguran\u00e7a Nitzan Yaakov.<\/p>\n
\u00a0<\/p>\n
“As solu\u00e7\u00f5es de c\u00f3digo aberto do Apache s\u00e3o amplamente utilizadas por muitos usu\u00e1rios e contribuidores. Os atacantes podem ver esse uso extensivo como uma oportunidade para ter recursos inesgot\u00e1veis para implementar seus ataques neles.”<\/p>\n<\/div>\n<\/div>\n
\u00a0<\/p>\n<\/div>\n