CRYSTALRAY 劲增的攻击规模

关键要点

根据 BleepingComputer，CRYSTALRAY 威胁运作已经导致超过 1500 名用户的凭据被泄露，并针对系统发动加密货币挖矿的攻击，自二月以来，攻击规模达到十倍的增长。

CRYSTALRAY 的攻击使用了数个开源软体工具，包括 Sliver 后渗透工具包，这些工具用于分发针对受 Control Web Panel 任意命令执行漏洞CVE202244877、Ignition 任意代码执行问题CVE20213129和 Ignite Realtime Openfire 伺服器端请求伪造缺陷CVE201918394等系统的修改型概念验证漏洞。此外，还涉及到易受攻击的 Atlassian Confluence 实例。根据 Sysdig 的分析，被渗透的系统将管理多个反向 shell 会话，并使用名为 Platypus 的网页管理工具进行进一步的妥协。

一方面，SSHSnake 蠕虫利用提取的 SSH 密钥不断攻击新主机并进行自我扩散，同时向攻击者的指挥控制伺服器传送密钥。另一方面，除了窃取配置文件和环境变数凭据之外，CRYSTALRAY 还在被侵入的系统中赚取加密货币挖矿的活动，这为研究者提供了更多的见解。

攻击手段影响系统数量主要漏洞使用开源工具1500CVE202244877 CVE20213129SSHSnake 蠕虫持续性攻击CVE201918394加密货币挖矿赚取经济收益被侵入系统

总结：CRYSTALRAY 威胁运作的迅速扩展表明，针对业界多个系统和应用程序的攻击正日益猖獗，这提醒企业加强对已知漏洞的防范和系统安全检测，以保护关键资源。