ΑρχικήsecurityHackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers

Hackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers

Εγκληματίες του κυβερνοχώρου στοχεύουν ευάλωτους Microsoft Exchange servers με cryptomining malware. Οι zero-day ευπάθειες στον Microsoft Exchange Server αναλύθηκαν τον περασμένο μήνα, όταν η Microsoft κυκλοφόρησε ενημερώσεις ασφαλείας για να αποτρέψει την εκμετάλλευση των ευάλωτων συστημάτων.

Δείτε επίσης: FBI: Αφαιρεί web shells από παραβιασμένους Exchange servers χωρίς να ειδοποιήσει τους ιδιοκτήτες

cryptomining Microsoft Exchange servers
Hackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers

Πολλοί εγκληματίες του κυβερνοχώρου, συμπεριλαμβανομένων κρατικών hackers και ransomware συμμοριών, έχουν προσπαθήσει να εκμεταλλευτούν ευάλωτους Exchange servers.

Οι ερευνητές ασφαλείας της Sophos, όμως, έχουν εντοπίσει και επιτιθέμενους που προσπαθούν να εκμεταλλευτούν τo ProxyLogon exploit στους Microsoft Exchange Servers, για να εγκαταστήσουν κρυφά ένα Monero cryptominer.

Το Monero δεν έχει τόση αξία όση το Bitcoin, αλλά είναι πιο εύκολο στην εξόρυξη και, κυρίως για τους εγκληματίες στον κυβερνοχώρο. Επιπλέον, παρέχει μεγαλύτερη ανωνυμία, δυσκολεύοντας τον εντοπισμό των ιδιοκτητών ενός πορτοφολιού και των επιτιθέμενων.

Ενώ το cryptomining δεν θεωρείται τόσο τραγικό όσο μια επίθεση ransomware ή η απώλεια ευαίσθητων δεδομένων, εξακολουθεί να αποτελεί μεγάλη ανησυχία για τους οργανισμούς, καθώς πολλοί από αυτούς δεν έχουν εφαρμόσει ακόμα τις ενημερώσεις ασφαλείας της Microsoft και τα συστήματά τους είναι ευάλωτα.

Δείτε επίσης: DearCry ransomware: Στοχεύει unpatched Microsoft Exchange servers

Hackers εγκαθιστούν cryptomining malware σε unpatched Microsoft Exchange servers

Σύμφωνα με την ανάλυση της Sophos, το Monero wallet του εγκληματία που βρίσκεται πίσω από αυτήν την cryptomining εκστρατεία, άρχισε να λαμβάνει χρήματα από την εξόρυξη στις 9 Μαρτίου, λίγες μέρες μετά την αποκάλυψη των ευπαθειών του Microsoft Exchange Server. Αυτό σημαίνει ότι ο επιτιθέμενος άρχισε να εκμεταλλεύεται αμέσως τα ευάλωτα συστήματα.

Οι επιθέσεις ξεκινούν με μια εντολή PowerShell και καταλήγουν στη λήψη εκτελέσιμων payloads για την εγκατάσταση του Minero miner.

Οι ερευνητές αναφέρουν ότι το εκτελέσιμο φαίνεται να περιέχει μια τροποποιημένη έκδοση ενός εργαλείου που είναι δημόσια διαθέσιμο στο Github. Όταν εκτελείται σε έναν παραβιασμένο server, τα στοιχεία της εγκατάστασης διαγράφονται, ενώ η διαδικασία εξόρυξης εκτελείται στη μνήμη.

Δείτε επίσης: Black Kingdom ransomware: Στοχεύει Microsoft Exchange servers. Η Ελλάδα ανάμεσα στα θύματα

Οι χειριστές των servers που έχουν παραβιαστεί από το cryptomining malware, πιθανότατα δεν θα καταλάβουν ότι υπάρχει κάποιο πρόβλημα. Εκτός και εάν ο εισβολέας γίνει άπληστος με το processing power, οπότε το θύμα θα αντιληφθεί ότι κάτι πηγαίνει στραβά.

Για την προστασία των δικτύων από επιθέσεις που εκμεταλλεύονται τις ευπάθειες του Microsoft Exchange Server, οι οργανισμοί καλούνται να εφαρμόσουν τις ενημερώσεις ασφαλείας, όσο το δυνατόν πιο σύντομα.

Πηγή: ZDNet

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS