Recent au fost descoperite atacuri de tip Cryptojacking care vizează servere Exchange. Atacatorii se folosesc de lanțul de exploit-uri extrem de mediatizat – utilizate de către grupări APT pentru a infecta sistemele cu totul, de la ransomware la webshells – pentru a găzdui malware-ul Monero cryptojacking, se arată potrivit unui raport postat online săptămâna aceasta de SophosLabs.
Analizând atacurile asupra unui server exchange al unui client, cercetătorii Shopos au descoperit ceea ce considerau „atac neobișnuit” malware-ul Monero. Au fost detectate executabilele asociate cu acest atac, Mal / Inject-GV și XMR-Stak Miner (PUA). Pentru a ajuta organizațiile să recunoască dacă au fost atacate în acest fel, a fost publicată o listă de indicatori de compromitere pe pagina GitHub a SophosLabs.
CUM funcționează atacul
Atacul observat de cercetători a început cu o comandă PowerShell pentru a extrage un fișier numit win_r.zip de pe Outlook Web Access logon path a altui server compromis (/ owa / auth).
La o inspecție mai atentă, fișierul .zip nu era o arhivă comprimată, ci un script batch care execută fișierul încorporat Windows certutil.exe pentru a descărca două fișiere, win_s.zip și win_d.zip, care, de asemenea, nu erau arhive.
Primul fișier este scris în filesistem sub denumirea QuickCPU.b64, care este în fapt payload-ul, un executabil (X64) ce poate fi decodat de aplicația certutil (utilizată pentru decodarea certificatelor de securitate). Apoi, scriptul rulează o altă comandă ce copiază executabilul decodat în același fișier.
Odată decodat, scriptul rulează executabilul ce extrage minerul și fișierul de configurare din QuickCPU.dat, instalează minerul, îl configurează, îl injectează într-un proces de sistem, apoi șterge orice dovadă că a fost acolo.
Executabilul din atac pare să conțină o versiune modificată a unui instrument disponibil pe Github numit PEx64-Injector, care este descris pe pagina sa de pe platforma Github ca având capacitatea de a „migra orice exe x64 în orice proces x64” fără „drepturi de administrator”.
Problema ProxyLogon a început pentru Microsoft la începutul lunii martie, când compania a spus că au fost identificate multiple exploit-uri zero day, fiind utilizate pentru a ataca versiunile locale ale Microsoft Exchange Server. Exploit-uri în lanț semnalate în vulnerabilitățile cunoscute (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065).
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.