Новости Ряд уязвимостей Microsoft Exchange использовали в новой вредоносной кампании ProxyShellMiner

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

Похоже, кто-то не обновил свой софт вовремя…​


gku6wt9dbkhq9hr5t4vchhb8qv7fkr0j.jpg


Новая вредоносная программа, получившая название «ProxyShellMiner», использует уязвимости Microsoft Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся для развертывания майнеров криптовалюты и получения прибыли злоумышленниками.

ProxyShell — это общее название сразу трёх уязвимостей Microsoft Exchange, обнаруженных и исправленных ещё в 2021 году. Вместе уязвимости позволяют выполнять удаленный код без проверки подлинности, давая злоумышленникам полный контроль над конкретным сервером Exchange, а также возможность подключиться к другим серверам организации.

В атаках, Для просмотра ссылки Войди или Зарегистрируйся компанией Для просмотра ссылки Войди или Зарегистрируйся , злоумышленники используют уязвимости ProxyShell, отслеживаемые под идентификаторами Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся , чтобы получить первоначальный доступ к сети организации.

Затем злоумышленники сбрасывают полезную нагрузку вредоносного ПО .NET в папку NETLOGON контроллера домена, чтобы убедиться, что все устройства в сети могут запустить вредоносное ПО. Для его активации требуется параметр командной строки, который дублируется как пароль для компонента XMRig Miner.

Далее уже второй загрузчик создаёт запланированную задачу в заражённой системе, которая будет запускать вредонос при каждом входе пользователя. А потом зловредный софт методом Для просмотра ссылки Войди или Зарегистрируйся внедряет майнер в установленный интернет-браузер пользователя и выбирает случайный майнинг-пул из запрограммированного списка. После чего на скомпрометированном компьютере начинается сам процесс майнинг криптовалюты.


m13k0gzkmvg7vps7dk02g5yb79s1u3pd.png


Выбор пула майнинга Последним шагом в цепочке атаки является создание правила брандмауэра Windows, которое блокирует весь исходящий трафик системы с целью снизить вероятность обнаружения маркеров заражения или получения любых предупреждений о потенциальной компрометации.


06bde5k6utelv60s6m1g0ogw9o627l83.png

Добавление правила брандмауэра для блокировки всего исходящего трафика Morphisec предупреждает, что воздействие современного вредоносного ПО выходит за рамки DDoS-атак, снижения производительности сервера и перегрева компьютеров. Ведь как только злоумышленники закрепятся в сети, они могут делать вообще всё, что угодно. От развертывания бэкдора до выполнения вредоносного кода.

Для устранения риска заражения ProxyShellMiner специалисты из Morphisec рекомендуют всем администраторам применять доступные обновления безопасности и использовать комплексные программные решения для обнаружения и устранения угроз.
 
Источник новости
www.securitylab.ru

Похожие темы