Gusano serpiente SSH
Una herramienta de mapeo de red llamada SSH-Snake, que se hizo de código abierto, ha sido reutilizada por actores relacionados con el fraude para sus operaciones de ataque. SSH-Snake funciona como un gusano que se modifica automáticamente y utiliza credenciales SSH obtenidas de un sistema comprometido para propagarse a través de la red de destino. Este gusano escanea de forma autónoma repositorios de credenciales reconocidos y archivos de historial de shell para identificar sus acciones posteriores.
Tabla de contenido
El gusano serpiente SSH se propaga por las redes de las víctimas
Lanzado en GitHub a principios de enero de 2024, SSH-Snake se caracteriza por su desarrollador como una potente herramienta diseñada para el recorrido automatizado de la red mediante el uso de claves privadas SSH descubiertas en varios sistemas.
La herramienta genera un mapa detallado de una red y sus dependencias, lo que ayuda a evaluar posibles compromisos a través de SSH y claves privadas SSH que se originan en un host específico. Además, SSH-Snake tiene la capacidad de resolver dominios con múltiples direcciones IPv4.
Al funcionar como una entidad completamente autorreplicante y sin archivos, SSH-Snake puede compararse con un gusano, que se reproduce y propaga de forma autónoma a través de los sistemas. Este script de shell no sólo facilita el movimiento lateral sino que también ofrece mayor sigilo y flexibilidad en comparación con los gusanos SSH convencionales.
La herramienta SSH-Snake ha sido explotada en operaciones de cibercrimen
Los investigadores han identificado casos en los que los actores de amenazas han empleado SSH-Snake en ciberataques reales para recopilar credenciales, direcciones IP de destino e historial de comandos bash. Esto ocurrió después de la identificación de un servidor de comando y control (C2) que aloja los datos adquiridos. Los ataques implican la explotación activa de vulnerabilidades de seguridad conocidas en instancias de Apache ActiveMQ y Atlassian Confluence para establecer un acceso inicial e implementar SSH-Snake.
SSH-Snake aprovecha la práctica recomendada de utilizar claves SSH para mejorar su difusión. Este enfoque, considerado más inteligente y confiable, permite a los actores de amenazas ampliar su alcance dentro de una red una vez que establecen un punto de apoyo.
El desarrollador de SSH-Snake enfatiza que la herramienta proporciona a los propietarios legítimos de sistemas un medio para identificar debilidades en su infraestructura antes de que los atacantes potenciales lo hagan de forma proactiva. Se alienta a las empresas a aprovechar SSH-Snake para descubrir rutas de ataque existentes y tomar medidas correctivas para abordarlas.
Los ciberdelincuentes suelen aprovechar el software legítimo para sus nefastos fines
Los ciberdelincuentes frecuentemente explotan herramientas de software legítimas para sus actividades inseguras y operaciones de ataque por varias razones:
Para contrarrestar estas amenazas, las organizaciones deben implementar una línea de acción de seguridad de múltiples capas que incluya monitoreo continuo, detección basada en el comportamiento, educación de los usuarios y mantener el software y los sistemas actualizados para mitigar las vulnerabilidades que podrían ser explotadas por los ciberdelincuentes.