Ein kürzlich als Open-Source veröffentlichtes Netzwerk-Mapping-Tool namens SSH-Snake wurde von Bedrohungsakteuren umfunktioniert, um bösartige Aktivitäten durchzuführen.
SSH-Snake ist ein selbstmodifizierender Wurm, der SSH-Anmeldeinformationen, die auf einem kompromittierten System entdeckt wurden, ausnutzt, um sich im Netzwerk zu verbreiten. Der Wurm durchsucht automatisch bekannte Anmeldeinformationsorte und Shell-Historie-Dateien, um seinen nächsten Schritt zu bestimmen.
SSH-Snake wurde erstmals Anfang Januar 2024 auf GitHub veröffentlicht und von seinem Entwickler als „leistungsfähiges Werkzeug“ beschrieben, um automatisches Netzwerkdurchsuchen unter Verwendung von SSH-Privatschlüsseln auf Systemen durchzuführen.
Es erstellt eine umfassende Karte eines Netzwerks und seiner Abhängigkeiten, um festzustellen, inwieweit ein Netzwerk unter Verwendung von SSH und SSH-Privatschlüsseln von einem bestimmten Host aus kompromittiert werden kann. Es unterstützt auch die Auflösung von Domains, die mehrere IPv4-Adressen haben.
Laut der Projektbeschreibung ist SSH-Snake vollständig selbstreplizierend und dateilos. In vielerlei Hinsicht ist SSH-Snake tatsächlich ein Wurm: Er repliziert sich und verbreitet sich so weit wie möglich von einem System zum anderen.
Sysdig stellte fest, dass das Shell-Skript nicht nur laterale Bewegungen ermöglicht, sondern auch mehr Steath und Flexibilität als andere typische SSH-Würmer bietet.
Die Cloud-Sicherheitsfirma berichtete, dass sie Bedrohungsakteure beobachtet hat, die SSH-Snake bei realen Angriffen einsetzen, um Anmeldeinformationen, IP-Adressen der Ziele und die Befehlshistorie nach der Entdeckung eines Command-and-Control-Servers zu sammeln.
Die Offenlegung erfolgt, als Aqua eine neue Botnetzkampagne namens Lucifer aufdeckte, die Miskonfigurationen und vorhandene Schwachstellen in Apache Hadoop und Apache Druid ausnutzt, um sie in ein Netzwerk zur Kryptowährungsgewinnung und zur Durchführung von verteilten Denial-of-Service (DDoS)-Angriffen zu zwingen.
In den letzten Wochen wurden bis zu 3.000 verschiedene Angriffe auf den Apache Big-Data-Stack festgestellt, einschließlich solcher, die anfällige Apache Flink-Instanzen herausgreifen, um Miner und Rootkits zu implementieren.
