Malware ProxyShellMiner использует уязвимости для майнинга криптовалюты

В новом обнаружении вредоносного ПО под названием ProxyShellMiner, вредоносное ПО использует уязвимости ProxyShell для установки майнеров криптовалюты по всему домену Windows, чтобы получить прибыль для злоумышленников.

Для тех, кто не знает, ProxyShell является одной из уязвимостей Exchange, обнаруженных и исправленных Microsoft в 2021 году. Три уязвимости объединены вместе; уязвимости позволяют несанкционированное удаленное выполнение кода и дают злоумышленникам полный контроль над сервером Exchange и другими частями серверной инфраструктуры предприятия.

Теперь атаки были замечены Morphisec, и злоумышленники злоупотребляют уязвимостью ProxyShell, отслеживаемой как CVE-2021-34523, чтобы получить первоначальный доступ к сети организации.

После этого атакующие развертывают вредоносный payload NET в папке NETLOGON контроллера домена, чтобы убедиться, что все устройства в сети работают с вредоносным ПО.

Читать: Обнаружен новый вариант трояна Royal, нацеленный на виртуальные машины VMware ESXi

Для активации вредоносного ПО требуется параметр командной строки, который также работает как пароль для компонента майнера XMRig. ProxyShell использует встроенный каталог, алгоритм XOR-шифрования и ключ XOR, который загружается с удаленного сервера, упомянул Morphisec.

Более того, он использует программу C# CSC.exe с параметрами компиляции “InMemory” для выполнения следующих встроенных модулей кода. На следующем этапе вредоносное ПО загружает файл с именем “DC_DLL” и запускает NET-рефлексию для извлечения аргумента для планировщика задач, XML и ключа XMRig, а затем файл DLL используется для расшифровки дополнительных файлов.

Читать: Российские злоумышленники нацеливаются на криптовалюту с помощью вредоносного ПО Enigma

Кроме того, на скомпрометированном компьютере устанавливается второй загрузчик, создающий запланированную задачу, которая настраивается при входе пользователя. Второй загрузчик загружается из удаленного местоположения вместе с четырьмя другими файлами.

После всего этого файл решает, какие браузеры скомпрометированного компьютера будут использоваться для внедрения майнера в память, используя метод, известный как “процессное полое”, а затем выбирает случайный пул из жестко закодированного списка, и процесс майнинга начинается.

Последнее в этой цепочке атак - создание правила брандмауэра, которое будет блокировать весь исходящий трафик, что затем применяется ко всем брандмауэрам Windows, и причина этого заключается в том, чтобы сделать защитников менее вероятными для обнаружения вредоносного ПО или получения каких-либо уведомлений о возможном внедрении из скомпрометированной системы.

Чтобы избежать мониторинга программами безопасности за поведением процесса во время выполнения, вредоносное ПО ждет как минимум 30 секунд после полого браузера перед созданием правила брандмауэра; вполне возможно, что майнеры общаются со своим инструментом майнинга через заднюю дверь, которая не контролируется программой безопасности.

Безопасные компании выдают предупреждение о том, что последствия вредоносного ПО выходят за рамки простого отключения услуг и перегрева машин. Поскольку злоумышленник получает контроль в сети, атакующие могут делать все, от развертывания задней двери до выполнения кода.

Читать: W4SP Stealer найден в индексе PyPi, угрожая криптокошелькам и паролям браузера