Hacker verwenden bekannte ProxyShell-Schwachstellen, um Kryptowährungs-Miner auf anfälligen Microsoft Exchange-Servern zu installieren, haben Forscher behauptet.
Cybersicherheitsexperten von Morphisec beobachteten nicht identifizierte Angreifer, die ProxyShell (ein Überbegriff für mehrere Schwachstellen, die, wenn sie miteinander verkettet sind, eine Remotecodeausführung ermöglichen) verwendeten, um XMRig auf Microsoft Exchange-Servern zu installieren.
XMRig ist eine der beliebtesten Kryptowährungs-Mining-Malware-Varianten, die die Kryptowährung Monero (XMR) für Angreifer generiert. Monero ist aufgrund seiner Datenschutzfunktionen und der Tatsache, dass es fast unmöglich zu verfolgen ist, eine beliebte Wahl unter Cyberkriminellen.
Sich vor aller Augen verstecken
Morphisec sagt, dass die in dieser Kampagne verwendeten Schwachstellen CVE-2021-34473 und CVE-2021-34523 sind. Beide wurden vor zwei Jahren entdeckt und gepatcht. Daher besteht der beste Weg zum Schutz vor diesen Angriffen darin, den Fix auf anfällige Endpunkte anzuwenden (öffnet in neuem Tab).
Die Angreifer haben auch zusätzliche Anstrengungen unternommen, um sicherzustellen, dass sie so lange wie möglich verborgen bleiben, sagten die Forscher.
Sobald der Miner eingerichtet ist, erstellt er eine Firewall-Regel, die auf alle Windows-Firewall-Profile angewendet wird, um den gesamten ausgehenden Datenverkehr zu blockieren. Auf diese Weise, fuhren die Forscher fort, würden die IT-Teams und andere Verteidiger nicht über die Verletzung des Systems benachrichtigt.
Darüber hinaus wartet die Malware zwischen dem Start des Mining-Prozesses und dem Erstellen der Firewall-Regel mindestens 30 Sekunden, um das Auslösen von Alarmen durch Sicherheitstools zu vermeiden, die das Laufzeitverhalten des Prozesses überwachen.
Kryptowährungsschürfer werden einen Computer nicht zerstören, aber da sie fast die gesamte Rechenleistung verbrauchen, machen sie das Gerät praktisch unbrauchbar. Außerdem könnten sie den Besitzern der Computer enorme Stromrechnungen bescheren.
Morphisec sagte auch, dass anfällige Besitzer von Microsoft Exchange-Servern den Angriff nicht auf die leichte Schulter nehmen sollten, da nichts die Angreifer davon abhält, andere Formen von Malware einzusetzen, nachdem sie in das Netzwerk eingedrungen sind.
Über: Piepender Computer (öffnet in neuem Tab)