'ProxyshellMiner' olarak adlandırılan yeni bir kötü amaçlı yazılım, saldırganlar için kar elde etmek için bir Windows alanı boyunca kripto para madencilerini dağıtmak için Microsoft Exchange Proxyshell güvenlik açıklarından yararlanır.
Proxyshell, 2021'de Microsoft tarafından keşfedilen ve sabitlenen üç değişim güvenlik açığının adıdır. Birlikte zincirlendiğinde, güvenlik açıkları, kimlik doğrulanmamış, uzaktan kod yürütülmesine izin verir ve saldırganların değişim sunucusunun tam kontrolünü almasına ve kuruluş ağının diğer bölümlerine pivot'a izin verir.
Morphisec tarafından görülen saldırılarda, tehdit aktörleri, kuruluşun ağına ilk erişim elde etmek için CVE-2021-34473 ve CVE-2021-34523 olarak izlenen proxyshell kusurlarından yararlanır.
Ardından, tehdit aktörleri, ağdaki tüm cihazların kötü amaçlı yazılımları çalıştırmasını sağlamak için etki alanı denetleyicisinin NetLogon klasörüne .NET kötü amaçlı yazılım yükü düşürür.
Kötü amaçlı yazılımın etkinleştirilmesi için, XMRIG Miner bileşeni için bir şifre olarak da adlandırılan bir komut satırı parametresi gerektirir.
"ProxyShellMiner, gömülü bir sözlük, bir XOR şifre çözme algoritması ve uzak bir sunucudan indirilen bir XOR tuşu kullanır."
"Ardından, bir sonraki gömülü kod modüllerini yürütmek için" InMemory "derleme parametrelerine sahip bir C# derleyici csc.exe kullanır."
Bir sonraki aşamada, kötü amaçlı yazılım "DC_DLL" adlı bir dosya indirir ve görev zamanlayıcısı, XML ve XMRIG tuşu için argümanları ayıklamak için .NET yansımasını gerçekleştirir. DLL dosyası, ek dosyaların şifre çözülmesi için kullanılır.
İkinci bir indirici, kullanıcının girişinde çalışacak şekilde yapılandırılmış planlanmış bir görev oluşturarak enfekte olmuş sistem üzerinde kalıcılık oluşturur. Son olarak, ikinci yükleyici diğer dört dosya ile birlikte uzak bir kaynaktan indirilir.
Bu dosya, tehlikeye atılan sisteme yüklenmiş olanların tarayıcısının, madencinin "proses oyma" olarak bilinen bir teknik kullanarak bellek alanına enjekte etmek için kullanılacağına karar verir. Bundan sonra, sabit kodlu bir listeden rastgele bir madencilik havuzu seçer ve madencilik faaliyeti başlar.
Saldırı zincirindeki son adım, tüm Windows güvenlik duvarı profilleri için geçerli olan tüm giden trafiği engelleyen bir güvenlik duvarı kuralı oluşturmaktır.
Bunun amacı, savunucuların enfeksiyon belirteçlerini tespit etmesini veya ihlal edilen sistemden potansiyel bir uzlaşma hakkında herhangi bir uyarıyı almasını daha az sağlamaktır.
İşlem çalışma zamanı davranışını izleyen güvenlik araçlarından kaçınmak için, kötü amaçlı yazılım, güvenlik duvarı kuralını oluşturmadan önce tarayıcının oyuğundan en az 30 saniye sonra bekler. Muhtemelen, madenci, güvenlik araçları tarafından izlenmeyen bir arka kapı aracılığıyla madencilik havuzu ile iletişim kurmaya devam ediyor.
Morphisec, kötü amaçlı yazılımların etkisinin hizmet kesintilerine neden olmanın, sunucu performansını düşürmenin ve bilgisayarların aşırı ısınmasının ötesine geçtiği konusunda uyarır.
Saldırganlar ağda bir dayanak kazandıktan sonra, arka kapı dağıtımından kod yürütülmesine kadar her şeyi yapabilirler.
Proxyshellminer enfeksiyonları riskini ele almak için Morphisec, tüm yöneticilere mevcut güvenlik güncellemelerini uygulamalarını ve kapsamlı ve çok yönlü tehdit tespiti ve savunma stratejileri kullanmasını tavsiye eder.
Hız testçileri olarak poz veren NPM paketleri, bunun yerine kripto madencileri yükleyin
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
Bilgisayar korsanları, bilgi kullanan kötü amaçlı yazılımları zorlamak için sahte kripto iş tekliflerini kullanır
Yeni Headcrab kötü amaçlı yazılım, Monero'ya Minero'ya 1.200 Redis Sunucusuna Enfekte
Microsoft: PostgreSQL aracılığıyla kötü amaçlı yazılım kampanyasında hacklenen Kubernetes kümeleri
Kaynak: Bleeping Computer