0724.236.133 / 0725.541.835 Str. CPT. CONSTANTIN MERIŞESCU Nr.39D, SECTOR 2 BUCURESTI

Atacatorii vizează serverele Exchange compromise pentru a găzdui malware-ul Cryptojacking Monero

Jun
11
2021

Recent au fost descoperite atacuri de tip Cryptojacking care vizează servere Exchange. Atacatorii se folosesc de lanțul de exploit-uri extrem de mediatizat – utilizate de către grupări APT pentru a infecta sistemele cu totul, de la ransomware la webshells – pentru a găzdui malware-ul Monero cryptojacking.

Analizând atacurile asupra unui server exchange al unui client, cercetătorii in securitate cibernetica au descoperit ceea ce considerau „atac neobișnuit” malware-ul Monero. Au fost detectate executabilele asociate cu acest atac, Mal / Inject-GV și XMR-Stak Miner (PUA). Pentru a ajuta organizațiile să recunoască dacă au fost atacate în acest fel, a fost publicată o listă de indicatori de compromitere pe pagina GitHub a SophosLabs.

CUM funcționează atacul

Atacul observat de cercetători a început cu o comandă PowerShell pentru a extrage un fișier numit win_r.zip de pe Outlook Web Access logon path a altui server compromis (/ owa / auth).

La o inspecție mai atentă, fișierul .zip nu era o arhivă comprimată, ci un script batch care execută fișierul încorporat Windows certutil.exe pentru a descărca două fișiere, win_s.zip și win_d.zip, care, de asemenea, nu erau arhive.

Primul fișier este scris în filesistem sub denumirea QuickCPU.b64, care este în fapt payload-ul, un executabil (X64) ce poate fi decodat de aplicația certutil (utilizată pentru decodarea certificatelor de securitate). Apoi, scriptul rulează o altă comandă ce copiază executabilul decodat în același fișier.

Odată decodat, scriptul rulează executabilul ce extrage minerul și fișierul de configurare din QuickCPU.dat, instalează minerul, îl configurează, îl injectează într-un proces de sistem, apoi șterge orice dovadă că a fost acolo.

Executabilul din atac pare să conțină o versiune modificată a unui instrument disponibil pe Github numit PEx64-Injector, care este descris pe pagina sa de pe platforma Github ca având capacitatea de a „migra orice exe x64 în orice proces x64” fără „drepturi de administrator”.

Problema ProxyLogon a început pentru Microsoft la începutul lunii martie, când compania a spus că au fost identificate multiple exploit-uri zero day, fiind utilizate pentru a ataca versiunile locale ale Microsoft Exchange Server. Exploit-uri în lanț semnalate în vulnerabilitățile cunoscute (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).

 

Protejati-va datele atat pe Smartphone cat si pe PC sau Laptop!

 

Kaspersky Lab este cea mai buna solutie de securitate informatica, la nivel mondial. Alegeti solutiile de top Kaspersky  pe care NET-Conect Technologies vi le poate pune la dispozitie

© Net-Conect.ro