Theo một nghiên cứu mới, những kẻ tấn công đang khai thác lỗ hổng ProxyLogon Microsoft Exchange Server để đồng chọn các máy dễ bị tấn công vào một mạng botnet tiền điện tử có tên Prometei.
“Prometei khai thác các lỗ hổng Microsoft Exchange được tiết lộ gần đây liên quan đến các cuộc tấn công HAFNIUM để xâm nhập mạng để triển khai phần mềm độc hại, thu thập thông tin đăng nhập và hơn thế nữa”, công ty an ninh mạng Cybereason có trụ sở tại Boston nói trong một phân tích tóm tắt những phát hiện của nó.
Được ghi nhận lần đầu tiên bởi Cisco Talos vào tháng 7 năm 2020, Prometei là một mạng botnet đa mô-đun, với tác nhân đứng sau hoạt động sử dụng một loạt các công cụ được chế tạo đặc biệt và các phương pháp khai thác đã biết như EternalBlue và BlueKeep để thu thập thông tin đăng nhập, lan truyền ngang qua mạng và “tăng số lượng hệ thống tham gia vào Monero của nó -sống phá hoại. “
“Prometei có cả phiên bản dựa trên Windows và Linux-Unix và nó điều chỉnh tải trọng của mình dựa trên hệ điều hành được phát hiện, trên các máy được nhắm mục tiêu bị nhiễm khi lây lan trên mạng”, nhà nghiên cứu mối đe dọa cấp cao của Cybereason, Lior Rochberger, cho biết thêm rằng nó “được xây dựng để tương tác với bốn máy chủ ra lệnh và kiểm soát (C2) khác nhau, giúp tăng cường cơ sở hạ tầng của mạng botnet và duy trì liên lạc liên tục, giúp nó có khả năng chống gỡ xuống cao hơn. “
Những kẻ xâm nhập tận dụng các lỗ hổng bảo mật được vá gần đây trong Máy chủ Microsoft Exchange với mục tiêu lạm dụng sức mạnh xử lý của hệ thống Windows để khai thác Monero.
Trong chuỗi tấn công do công ty quan sát, kẻ thù được phát hiện đang khai thác lỗi máy chủ Exchange CVE-2021-27065 và CVE-2021-26858 như một vectơ thỏa hiệp ban đầu để cài đặt trình bao web Chopper của Trung Quốc và xâm nhập cửa hậu vào mạng. Với quyền truy cập này, tác nhân đe dọa đã khởi chạy PowerShell để tải xuống tải trọng Prometei ban đầu từ một máy chủ từ xa.
Các phiên bản gần đây của mô-đun bot đi kèm với các khả năng cửa hậu hỗ trợ một loạt lệnh, bao gồm các mô-đun bổ sung được gọi là “Microsoft Exchange Defender” giả mạo là sản phẩm hợp pháp của Microsoft có khả năng loại bỏ các trình bao web cạnh tranh khác có thể được cài đặt trên máy để Prometei có quyền truy cập vào các tài nguyên cần thiết để khai thác tiền điện tử một cách hiệu quả.
Thật thú vị, bằng chứng mới được khai quật được thu thập từ VirusTotal đồ tạo tác đã tiết lộ rằng botnet có thể đã xuất hiện vào đầu tháng 5 năm 2016, ngụ ý rằng phần mềm độc hại đã không ngừng phát triển kể từ đó, thêm các mô-đun và kỹ thuật mới vào khả năng của nó.
Prometei đã được quan sát thấy trong vô số nạn nhân trải dài trên các lĩnh vực tài chính, bảo hiểm, bán lẻ, sản xuất, tiện ích, du lịch và xây dựng, xâm phạm mạng lưới các tổ chức đặt tại Hoa Kỳ, Vương quốc Anh và một số quốc gia ở Châu Âu, Nam Mỹ và Đông Á. , đồng thời rõ ràng tránh lây nhiễm các mục tiêu trong Khối Xô Viết Quốc gia.
Không có nhiều thông tin về những kẻ tấn công ngoài việc chúng nói tiếng Nga, với các phiên bản Prometei cũ hơn có mã ngôn ngữ của chúng là “tiếng Nga”. Một mô-đun máy khách Tor riêng biệt được sử dụng để giao tiếp với máy chủ Tor C2 bao gồm tệp cấu hình được định cấu hình để tránh sử dụng một số nút thoát nằm ở Nga, Ukraine, Belarus và Kazakhstan.
Rochberger nói: “Những kẻ đe dọa trong cộng đồng tội phạm mạng tiếp tục áp dụng các kỹ thuật giống APT và cải thiện hiệu quả hoạt động của chúng. “Như quan sát thấy trong các cuộc tấn công Prometei gần đây, các tác nhân đe dọa đã tấn công làn sóng các lỗ hổng Microsoft Exchange được phát hiện gần đây và khai thác chúng để xâm nhập các mạng được nhắm mục tiêu.”
“Mối đe dọa này gây ra rủi ro lớn cho các tổ chức, vì những kẻ tấn công có quyền kiểm soát tuyệt đối đối với các máy bị nhiễm và nếu muốn, chúng có thể đánh cắp thông tin, lây nhiễm các thiết bị đầu cuối bằng phần mềm độc hại khác hoặc thậm chí cộng tác với các băng đảng ransomware bằng cách bán quyền truy cập vào cô ấy nói thêm.
