Βρέθηκε ένα νέο malware με την ονομασία ProxyShellMiner, το οποίο αξιοποιεί τις ευπάθειες του Microsoft Exchange ProxyShell για να εγκαταστήσει crypto-miners στα συστήματα των θυμάτων.
Με αυτόν τον τρόπο, οι επιτιθέμενοι βγάζουν κέρδος χωρίς να καταναλώνουν καθόλου ρεύμα, αλλά και χωρίς να σπαταλάνε τους διαθέσιμους πόρους των υπολογιστών τους.
Δείτε επίσης: Play ransomware: Εκμεταλλεύτηκε exploit του Microsoft Exchange
Το ProxyShell αναφέρεται σε τρεις ευπάθειες του Microsoft Exchange που ανακαλύφθηκαν και διορθώθηκαν από τη Microsoft το 2021, οι οποίες, όταν συνδυαστούν, επιτρέπουν μη εξουσιοδοτημένες RCE επιθέσεις. Αυτό επέτρεπε στους επιτιθέμενους να αποκτήσουν τον πλήρη έλεγχο του Exchange server, αλλά και να μετακινηθούν σε άλλα ‘τμήματα’ του δικτύου.
Στις επιθέσεις που παρατηρήθηκαν από τη Morphisec, οι χάκερς εκμεταλλευόντουσαν τις ProxyShell ευπάθειες (CVE-2021-34473) και (CVE-2021-34523) για να αποκτήσουν την αρχική πρόσβαση στο δίκτυο του οργανισμού.
Για να διασφαλίσουν ότι όλες οι συσκευές εντός του δικτύου τρέχουν το συγκεκριμένο malware, οι επιτιθέμενοι τοποθετούσαν ένα κακόβουλο .NET payload στο φάκελο NETLOGON του Domain Controller.
Το malware χρειάζεται μια παράμετρο στο command line (γραμμή εντολών) που λειτουργεί ως κωδικός πρόσβασης για την ενεργοποίηση του mining στοιχείου ‘XMRig’.
Το ProxyShellMiner χρησιμοποιεί ένα ενσωματωμένο λεξικό, έναν αλγόριθμο αποκρυπτογράφησης (XOR μεθοδολογίας) και ένα XOR κλειδί για τις λήψεις (που θα ακολουθήσουν) από έναν απομακρυσμένο server και στη συνέχεια χρησιμοποιεί έναν C# compiler με παραμέτρους μεταγλώττισης “InMemory” για να εκτελέσει τα επόμενα embedded code modules.
Σε επόμενη βήμα, το κακόβουλο λογισμικό κατεβάζει ένα αρχείο με όνομα “DC_DLL” και εξάγει τα ορίσματα για τον task scheduler (χρονοπρογραμματιστή εργασιών) , την XML και το κλειδί XMRig χρησιμοποιώντας ένα .NET reflection.
Το DLL αρχείο χρησιμοποιείται για την αποκρυπτογράφηση πρόσθετων αρχείων.
Δείτε επίσης: Scandinavian Airlines: Κυβερνοεπίθεση οδήγησε σε διαρροή δεδομένων
Ένα δεύτερο downloader εξασφαλίζει την παραμονή του κακόβουλου λογισμικού στο μολυσμένο σύστημα, δημιουργώντας ένα προγραμματισμένο task που έχει ρυθμιστεί να εκτελείται κατά την σύνδεση του χρήστη
Ύστερα, το αρχείο επιλέγει ποιον browser θα χρησιμοποιήσει για την “εισβολή” του crypto-miner στο memory space (του browser), χρησιμοποιώντας το “process hollowing” – στη συνέχεια επιλέγει ένα τυχαίο mining pool από μια hardcoded λίστα και .. το mining ξεκινά!
Το τελικό βήμα είναι η δημιουργία ενός κανόνα (rule) στο firewall που μπλοκάρει όλη το εξερχόμενο traffic
Αυτό γίνεται για να είναι λιγότερο πιθανό για τα ‘defenders‘ να εντοπίσουν σημάδια μόλυνσης ή να λάβουν ειδοποιήσεις σχετικά με μια ενδεχόμενη παραβίαση.
Για να παρακάμψει τα εργαλεία ασφαλείας που παρακολουθούν τη λειτουργία των διεργασιών, το malware περιμένει τουλάχιστον 30 δευτερόλεπτα μετά το άνοιγμα του browser, πριν φτιάξει τον παραπάνω κανόνα.
Microsoft Exchange: ProxyShell flaws βρέθηκαν σε crypto-mining επιθέσεις
Η Morphisec προειδοποιεί ότι ο αντίκτυπος του malware ξεπερνάει τις ‘διακοπές υπηρεσιών’, την υποβάθμιση της απόδοσης του server, αλλά και την προφανή υπερθέρμανση των υπολογιστών
Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση στο δίκτυο, μπορούν να αναπτύξουν backdoors ή και να εκτελούν κώδικα.
Για να μειωθεί ο κίνδυνος μολύνσεων από το ProxyShellMiner, η Morphisec συνιστά σε όλους τους administrators να τρέχουν τις διαθέσιμες ενημερώσεις ασφαλείας και να χρησιμοποιούν ολοκληρωμένες τεχνικές για την ανίχνευση και την άμυνα των απειλών.
Πηγή πληροφοριών: bleepingcomputer.com
