{"id":1239611,"date":"2024-07-15T13:24:16","date_gmt":"2024-07-15T15:24:16","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-de-crystalray-infectent-plus-de-1-500-victimes-a-laide-dun-outil-de-cartographie-reseau\/"},"modified":"2024-07-15T13:24:20","modified_gmt":"2024-07-15T15:24:20","slug":"les-pirates-informatiques-de-crystalray-infectent-plus-de-1-500-victimes-a-laide-dun-outil-de-cartographie-reseau","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-pirates-informatiques-de-crystalray-infectent-plus-de-1-500-victimes-a-laide-dun-outil-de-cartographie-reseau\/","title":{"rendered":"Les pirates informatiques de CRYSTALRAY infectent plus de 1 500 victimes \u00e0 l&#8217;aide d&#8217;un outil de cartographie r\u00e9seau"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">15 juillet 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">S\u00e9curit\u00e9\/vuln\u00e9rabilit\u00e9 SaaS<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Les-pirates-informatiques-de-CRYSTALRAY-infectent-plus-de-1-500.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un acteur malveillant qui avait d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un outil de cartographie de r\u00e9seau open source a consid\u00e9rablement \u00e9tendu ses op\u00e9rations pour infecter plus de 1 500 victimes.<\/p>\n<p>Sysdig, qui suit le cluster sous le nom <a rel=\"nofollow noopener\" href=\"https:\/\/sysdig.com\/blog\/CRYSTALRAY-rising-threat-actor-exploiting-oss-tools\/\" target=\"_blank\">RAYON DE CRISTAL<\/a>a d\u00e9clar\u00e9 que les activit\u00e9s ont connu une augmentation de 10 fois, ajoutant qu&#8217;elles incluent \u00ab l&#8217;analyse de masse, l&#8217;exploitation de multiples vuln\u00e9rabilit\u00e9s et la mise en place de portes d\u00e9rob\u00e9es \u00e0 l&#8217;aide de plusieurs [open-source software] \u00ab\u00a0Outils de s\u00e9curit\u00e9\u00a0\u00bb.<\/p>\n<p>L\u2019objectif principal des attaques est de r\u00e9colter et de vendre des informations d\u2019identification, de d\u00e9ployer des mineurs de crypto-monnaie et de maintenir la persistance dans les environnements des victimes. <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/auditboard-it-risk-now\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Des-pirates-informatiques-lies-a-la-Chine-infiltrent-une-entreprise.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Parmi les programmes open source utilis\u00e9s par l&#8217;acteur de la menace, on trouve <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/MegaManSec\/SSH-Snake\" target=\"_blank\">SSH-Serpent<\/a>qui a \u00e9t\u00e9 publi\u00e9 pour la premi\u00e8re fois en janvier 2024. Il a \u00e9t\u00e9 d\u00e9crit comme un outil permettant d&#8217;effectuer une travers\u00e9e automatique du r\u00e9seau \u00e0 l&#8217;aide de cl\u00e9s priv\u00e9es SSH d\u00e9couvertes sur les syst\u00e8mes.<\/p>\n<p>L&#8217;utilisation abusive du logiciel par CRYSTALRAY a \u00e9t\u00e9 document\u00e9e par la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 plus t\u00f4t en f\u00e9vrier, l&#8217;outil \u00e9tant d\u00e9ploy\u00e9 pour un mouvement lat\u00e9ral suite \u00e0 l&#8217;exploitation de failles de s\u00e9curit\u00e9 connues dans les instances publiques Apache ActiveMQ et Atlassian Confluence.<\/p>\n<p>Joshua Rogers, le d\u00e9veloppeur derri\u00e8re SSH-Snake, a d\u00e9clar\u00e9 \u00e0 The Hacker News \u00e0 l&#8217;\u00e9poque que l&#8217;outil automatise uniquement ce qui aurait autrement \u00e9t\u00e9 des \u00e9tapes manuelles, et a appel\u00e9 les entreprises \u00e0 \u00ab d\u00e9couvrir les chemins d&#8217;attaque qui existent \u2013 \u200b\u200bet \u00e0 les corriger \u00bb.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721057055_433_Les-pirates-informatiques-de-CRYSTALRAY-infectent-plus-de-1-500.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/1721057055_433_Les-pirates-informatiques-de-CRYSTALRAY-infectent-plus-de-1-500.png\" alt=\"Outil de cartographie du r\u00e9seau\" border=\"0\" data-original-height=\"843\" data-original-width=\"1884\" title=\"Outil de cartographie du r\u00e9seau\"\/><\/a><\/div>\n<p>Certains des autres outils utilis\u00e9s par les attaquants incluent <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/nitefood\/asn\" target=\"_blank\">asn<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/zmap\/zmap\" target=\"_blank\">carte z<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/projectdiscovery\/httpx\" target=\"_blank\">httpx<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/projectdiscovery\/nuclei\" target=\"_blank\">noyaux<\/a> afin de v\u00e9rifier si un domaine est actif et de lancer des analyses pour les services vuln\u00e9rables tels que Apache ActiveMQ, Apache RocketMQ, Atlassian Confluence, Laravel, Metabase, Openfire, Oracle WebLogic Server et Solr.<\/p>\n<section class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/encrypted-drives-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/07\/Des-failles-critiques-non-corrigees-ont-ete-revelees-dans-le.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/section>\n<p>CRYSTALRAY utilise \u00e9galement son point d&#8217;appui initial pour mener un processus de d\u00e9couverte d&#8217;informations d&#8217;identification de grande envergure qui va au-del\u00e0 du d\u00e9placement entre les serveurs accessibles via SSH. L&#8217;acc\u00e8s permanent \u00e0 l&#8217;environnement compromis est r\u00e9alis\u00e9 au moyen d&#8217;un cadre de commande et de contr\u00f4le (C2) l\u00e9gitime appel\u00e9 Sliver et d&#8217;un <a rel=\"nofollow noopener\" href=\"https:\/\/www.archcloudlabs.com\/projects\/cryptojacking-adopts-termite-c2-utility\/\" target=\"_blank\">gestionnaire de shell invers\u00e9<\/a> nom de code <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/WangYihang\/Platypus\" target=\"_blank\">Ornithorynque<\/a>.<\/p>\n<p>Dans une nouvelle tentative de tirer une valeur mon\u00e9taire des actifs infect\u00e9s, les charges utiles des mineurs de crypto-monnaie sont livr\u00e9es pour utiliser illicitement les ressources de la victime \u00e0 des fins de gain financier, tout en prenant simultan\u00e9ment des mesures pour mettre fin aux mineurs concurrents qui pourraient d\u00e9j\u00e0 fonctionner sur les machines.<\/p>\n<p>\u00ab CRYSTALRAY est capable de d\u00e9couvrir et d&#8217;extraire des identifiants de syst\u00e8mes vuln\u00e9rables, qui sont ensuite vendus sur le march\u00e9 noir pour des milliers de dollars \u00bb, a d\u00e9clar\u00e9 Miguel Hern\u00e1ndez, chercheur chez Sysdig. \u00ab Les identifiants vendus impliquent une multitude de services, notamment des fournisseurs de services cloud et des fournisseurs de messagerie SaaS. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ? Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire davantage de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/07\/crystalray-hackers-infect-over-1500.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80215 juillet 2024\ue804R\u00e9dactionS\u00e9curit\u00e9\/vuln\u00e9rabilit\u00e9 SaaS Un acteur malveillant qui avait d\u00e9j\u00e0 \u00e9t\u00e9 observ\u00e9 en train d&#8217;utiliser un outil de cartographie de r\u00e9seau open source a consid\u00e9rablement \u00e9tendu ses op\u00e9rations pour infecter plus de 1 500 victimes. Sysdig, qui suit le cluster sous le nom RAYON DE CRISTALa d\u00e9clar\u00e9 que les activit\u00e9s ont connu une augmentation de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1239612,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[238714,200292,238582,240744,238778,90436,4168,241878,4165,74,153507,8154,1151,65,238584,200271,238334,98340,5527,4394,4810,238617,4172,4169,1884,4166,238583],"class_list":["post-1239611","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-des-hackers","tag-actualites-sur-la-cybersecurite","tag-actualites-sur-la-cybersecurite-aujourdhui","tag-actualites-sur-le-cyberespace","tag-actualites-sur-le-piratage-informatique","tag-cartographie","tag-comment-pirater","tag-crystalray","tag-cyber-attaques","tag-dun","tag-infectent","tag-informatiques","tag-laide","tag-les","tag-les-nouvelles-des-hackers","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-cybernetiques","tag-mises-a-jour-de-cybersecurite","tag-outil","tag-pirates","tag-reseau","tag-securite-de-linformation","tag-securite-informatique","tag-securite-internet","tag-victimes","tag-violation-de-donnees","tag-vulnerabilite-du-logiciel"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1239611","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1239611"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1239611\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1239612"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1239611"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1239611"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1239611"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}