Хакеры устанавливают майнеры Monero через уязвимости ProxyLogon в Microsoft Exchange
14 апреля 2021 года
Киберпреступники атакуют уязвимые серверы Microsoft Exchange с целью установки ПО для майнинга криптовалюты в рамках вредоносной кампании, направленной на использование вычислительных мощностей скомпрометированных систем для заработка.
В ходе атак злоумышленники эксплуатируют раскрытые в прошлом месяце уязвимости в Microsoft Exchange, известные как ProxyLogon. Хакерские группировки всех мастей, начиная от APT-групп и заканчивая финансово мотивированными киберпреступниками, эксплуатировали их для взлома почтовых серверов. Одна из китайских киберпреступных группировок проложила путь для дальнейших атак, установив на взломанных серверах web-оболочки China Chopper. Как недавно сообщал SecurityLab, ФБР получило судебное разрешение на доступ к сотням уязвимых установок Microsoft Exchange на территории США для удаления web-оболочек с зараженных систем.
Специалисты ИБ-компании Sophos выявили
хакеров, пытающихся «поживиться» за счет уязвимости ProxyLogon путем тайной установки майнеров криптовалюты Monero.
Стоимость Monero далека от стоимости биткойна, но эту криптовалюту легче майнить. Более того, что немаловажно для киберпреступников, Monero обеспечивает большую анонимность – владельцев кошельков гораздо сложнее отследить.
Хотя заражение серверов майнером криптовалюты может показаться не таким опасным, как атака вымогательского ПО или похищение конфиденциальных данных, оно по-прежнему представляет собой угрозу для организаций. Если хакерам удалось установить майнер, значит: первое – у них есть доступ к корпоративной сети, второе – организация не применила критические обновления, предназначенные для защиты от всех видов атак.
По данным Sophos, принадлежащий злоумышленникам кошелек Monero стал получать криптовалюту 9 марта 2021 года, всего через несколько дней после того, как стало известно об уязвимостях в Microsoft Exchange.
Атака начинается с PowerShell-команды, извлекающей файл через ранее скомпрометированный Outlook Web Acces. В свою очередь, этот файл загружает исполняемую полезную нагрузку для установки майнера Monero. Исполняемый файл содержит модифицированную версию инструмента, доступного всем желающим на GitHub. Когда его содержимое запускается на скомпрометированном сервере, все свидетельства установки удаляются, а процесс майнинга проходит в памяти.
Маловероятно, что операторы серверов, на которых были установлены
криптомайнеры, заметят наличие проблемы. Они могут заподозрить неладное только в случае, если злоумышленники станут жадничать и начнут использовать слишком много вычислительной мощности.
Источники[править]
Эта статья содержит материалы из статьи «Хакеры устанавливают майнеры Monero через уязвимости ProxyLogon в Microsoft Exchange», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.