Ver SSH-Snake
Un outil de cartographie du réseau nommé SSH-Snake, rendu open source, a été réutilisé par des acteurs liés à la fraude pour leurs opérations d'attaque. SSH-Snake fonctionne comme un ver auto-modifiable, utilisant les informations d'identification SSH obtenues à partir d'un système compromis pour se propager sur le réseau ciblé. Ce ver analyse de manière autonome les référentiels d'informations d'identification reconnus et les fichiers historiques du shell pour identifier ses actions ultérieures.
Table des matières
Le ver SSH-Snake se propage sur les réseaux de victimes
Lancé sur GitHub début janvier 2024, SSH-Snake est caractérisé par son développeur comme un outil puissant conçu pour la traversée automatisée du réseau grâce à l'utilisation de clés privées SSH découvertes sur divers systèmes.
L'outil génère une carte détaillée d'un réseau et de ses dépendances, facilitant l'évaluation des compromissions potentielles via SSH et les clés privées SSH provenant d'un hôte spécifique. De plus, SSH-Snake a la capacité de résoudre des domaines avec plusieurs adresses IPv4.
Fonctionnant comme une entité entièrement auto-répliquante et sans fichier, SSH-Snake peut être assimilé à un ver, se reproduisant et se propageant de manière autonome sur tous les systèmes. Ce script shell facilite non seulement les mouvements latéraux, mais offre également une furtivité et une flexibilité améliorées par rapport aux vers SSH conventionnels.
L'outil SSH-Snake a été exploité dans des opérations de cybercriminalité
Les chercheurs ont identifié des cas où des acteurs malveillants ont utilisé SSH-Snake dans de véritables cyberattaques pour collecter des informations d'identification, cibler des adresses IP et un historique des commandes bash. Cela s'est produit suite à l'identification d'un serveur de commande et de contrôle (C2) hébergeant les données acquises. Les attaques impliquent l'exploitation active de vulnérabilités de sécurité connues dans les instances Apache ActiveMQ et Atlassian Confluence pour établir un accès initial et déployer SSH-Snake.
SSH-Snake exploite la pratique recommandée consistant à utiliser les clés SSH pour améliorer sa diffusion. Cette approche, jugée plus intelligente et fiable, permet aux acteurs malveillants d’étendre leur portée au sein d’un réseau une fois qu’ils ont pris pied.
Le développeur de SSH-Snake souligne que l'outil fournit aux propriétaires de systèmes légitimes un moyen d'identifier les faiblesses de leur infrastructure avant que des attaquants potentiels ne le fassent de manière proactive. Les entreprises sont encouragées à tirer parti de SSH-Snake pour découvrir les chemins d'attaque existants et prendre des mesures correctives pour y remédier.
Les cybercriminels profitent souvent de logiciels légitimes à leurs fins néfastes
Les cybercriminels exploitent fréquemment des outils logiciels légitimes pour leurs activités dangereuses et leurs opérations d'attaque pour plusieurs raisons :
Pour contrer ces menaces, les organisations doivent mettre en œuvre une ligne d'action de sécurité à plusieurs niveaux qui comprend une surveillance continue, une détection basée sur le comportement, l'éducation des utilisateurs et la mise à jour des logiciels et des systèmes pour atténuer les vulnérabilités qui pourraient être exploitées par les cybercriminels.