ProxyShellMiner-Malware nutzt Schwachstellen für Kryptowährungs-Mining aus

In einer neuen Malware-Entdeckung namens ProxyShellMiner nutzt die Malware die ProxyShell-Schwachstellen aus, um Kryptowährungs-Miner im gesamten Windows-Domain zu installieren und Gewinne für die Bedrohungsakteure zu erzielen.

Für diejenigen, die es nicht wissen, ist ProxyShell eine der Exchange-Schwachstellen, die 2021 von Microsoft gefunden und behoben wurden. Nun, die drei Schwachstellen sind miteinander kombiniert; die Schwachstellen ermöglichen unbefugte, remote Codeausführung und lassen die Bedrohungsakteure die volle Kontrolle über den Exchange-Server übernehmen und auf andere Teile des Unternehmensservers zugreifen.

Jetzt wurden die Angriffe von Morphisec entdeckt und die Bedrohungsakteure missbrauchen die ProxyShell-Schwachstelle, die als CVE-2021-34523 verfolgt wird, um den ersten Zugang zum Netzwerk der Organisation zu erhalten.

Danach setzen die Angreifer eine NET-Malware-Nutzlast in den NETLOGON-Ordner des Domänencontrollers ein, um sicherzustellen, dass alle Geräte im Netzwerk mit der Malware laufen.

Lesen: Neue Royal Trojan-Variante entdeckt, zielt auf VMware ESXi-virtuelle Maschinen ab

Damit die Malware aktiviert wird, benötigt die Malware einen Befehlszeilenparameter, der auch als Passwort für die XMRig-Miner-Komponente fungiert. ProxyShell verwendet ein eingebettetes Verzeichnis, einen XOR-Dekryptierungsalgorithmus und einen XOR-Schlüssel, der von einem Remote-Server heruntergeladen wird, so Morphisec.

Darüber hinaus verwendet es ein C#-Programm CSC.exe mit “InMemory”-Kompilierungsparametern, um die nächsten eingebetteten Code-Module auszuführen. In der nächsten Phase lädt die Malware eine Datei namens “DC_DLL” herunter und führt eine NET-Reflexion durch, um das Argument für den Task-Planer, XML und den XMRig-Schlüssel zu extrahieren, und dann wird die DLL-Datei zur Dekryptierung der zusätzlichen Dateien verwendet.

Lesen: Russische Bedrohungsakteure zielen mit Enigma-Malware auf Kryptowährungen ab

Zusätzlich dazu wird eine zweite Downloader-Verbindung auf dem kompromittierten Computer hergestellt, indem eine geplante Aufgabe erstellt wird, die beim Benutzer-Login konfiguriert ist. Der zweite Downloader wird von einem Remote-Standort zusammen mit den vier anderen Dateien heruntergeladen.

Nach all dem entscheidet die Datei, welche Browser des injizierten Computers verwendet werden, um den Miner in den Speicher einzufügen, indem eine Methode namens “Process Hollowing” verwendet wird, und wählt dann einen zufälligen Pool aus der fest codierten Liste aus, und der Mining-Prozess beginnt.

Das letzte Element in dieser Angriffsreihe besteht darin, eine Firewall-Regel zu erstellen, die den gesamten ausgehenden Verkehr blockiert, was dann auf jede Windows-Firewall angewendet wird, und der Grund dafür ist, die Verteidiger weniger wahrscheinlich zu machen, Malware zu erkennen oder eine Benachrichtigung über die mögliche Injektion aus dem kompromittierten System zu erhalten.

Um den Sicherheitsprogrammen zu entkommen, die das Laufzeitverhalten des Prozesses überwachen, wartet die Malware mindestens 30 Sekunden nach dem Browser-Hollowing, bevor sie die Firewall-Regel erstellt; es ist durchaus möglich, dass Miner über einen Backdoor, der nicht von dem Sicherheitsprogramm überwacht wird, mit ihrem Mining-Tool kommunizieren.

Die Sicherheitsfirmen warnen, dass die Auswirkungen der Malware über bloße Dienstunterbrechungen und Überhitzung der Maschinen hinausgehen. Da der Bedrohungsakteur einen Halt im Netzwerk gewinnt, können die Angreifer alles tun, von der Bereitstellung eines Backdoors bis zur Ausführung eines Codes.

Lesen: W4SP Stealer auf PyPi-Index gefunden, bedroht Krypto-Wallets und Browser-Passwörter