ProxyShellMiner マルウェアが脆弱性を悪用して暗号通貨マイニングを行う

新しいマルウェアの発見である ProxyShellMiner は、マルウェアが ProxyShell の脆弱性を悪用して、Windows ドメイン全体に暗号通貨マイナーをインストールし、脅威行為者に利益をもたらします。

ProxyShell を知らない方のために説明すると、ProxyShell は 2021 年に Microsoft によって発見され修正された Exchange 脆弱性の一つです。3 つの脆弱性が組み合わさっており、これにより不正なリモートコード実行が可能になり、脅威行為者は Exchange サーバーを完全に制御し、企業サーバーの他の部分に移行することができます。

現在、攻撃は Morphisec によって発見され、脅威行為者が ProxyShell 脆弱性を悪用して組織ネットワークへの初期アクセスを得たことが CVE-2021-34523 として追跡されています。

その後、攻撃者はドメインコントローラーの NETLOGON フォルダーに NET マルウェアペイロードを展開し、ネットワーク上のすべてのデバイスがマルウェアを実行していることを確認します。

読む: 新しいロイヤルトロイの木馬の亜種が発見され、VMware ESXi 仮想マシンを標的にしています。

マルウェアを起動するためには、マルウェアは XMRig マイナーコンポーネントのパスワードとしても機能するコマンドラインパラメータを必要とします。ProxyShell は、埋め込まれたディレクトリ、XOR 復号化アルゴリズム、およびリモートサーバーからダウンロードされる XOR キーを使用しますと Morphisec は述べています。

さらに、C# プログラム CSC.exe を使用して「InMemory」コンパイルパラメータで次の埋め込まれたコードモジュールを実行します。次のフェーズでは、「DC_DLL」という名前のファイルをダウンロードし、NET 反射を実行してタスクスケジューラ、XML、および XMRig キーの引数を抽出し、その後 DLL ファイルは追加ファイルの復号化に使用されます。

読む: ロシアの脅威行為者がエニグママルウェアを使用して暗号通貨を標的にしています。

これに加えて、妥協したコンピュータ上にスケジュールされたタスクを作成することで、2 番目のダウンローダーが接続を確立します。この 2 番目のダウンローダーは、リモートロケーションからダウンロードされ、他の 4 つのファイルとともに存在します。

これらすべての後、ファイルは、注入されたコンピュータのどのブラウザが「プロセスホロウイング」として知られる方法を使用してマイナーをメモリに注入するために使用されるかを決定し、次にハードコーディングされたリストからランダムなプールを選択し、マイニングプロセスが開始されます。

この攻撃チェーンの最後のステップは、すべてのアウトゴーイングトラフィックをブロックするファイアウォールルールを作成することで、これによりすべての Windows ファイアウォールに適用されます。これを行う理由は、防御者がマルウェアを検出したり、侵害されたシステムからの可能な注入について通知を受けたりする可能性を低くするためです。

セキュリティプログラムがプロセスの実行時の挙動を監視するのを逃れるために、マルウェアはブラウザホロウイングの後にファイアウォールルールを作成する前に少なくとも 30 秒待機します。マイナーがセキュリティプログラムによって監視されていないバックドアを介してマイニングツールと通信する可能性が高いです。

セキュリティ企業は、マルウェアの影響が単なるサービスの停止や機械の過熱を超えることを警告しています。脅威行為者がネットワークに侵入すると、攻撃者はバックドアの展開からコードの実行まで何でも行うことができます。

読む: W4SP スティーラーが PyPi インデックスで発見され、暗号通貨ウォレットとブラウザのパスワードを脅かしています。