Хакеры устанавливают майнеры Monero через уязвимости ProxyLogon в Microsoft Exchange

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

14 апреля 2021 года

Wikinews-logo-ru.svg

Киберпреступники атакуют уязвимые серверы Microsoft Exchange с целью установки ПО для майнинга криптовалюты в рамках вредоносной кампании, направленной на использование вычислительных мощностей скомпрометированных систем для заработка.

В ходе атак злоумышленники эксплуатируют раскрытые в прошлом месяце уязвимости в Microsoft Exchange, известные как ProxyLogon. Хакерские группировки всех мастей, начиная от APT-групп и заканчивая финансово мотивированными киберпреступниками, эксплуатировали их для взлома почтовых серверов. Одна из китайских киберпреступных группировок проложила путь для дальнейших атак, установив на взломанных серверах web-оболочки China Chopper. Как недавно сообщал SecurityLab, ФБР получило судебное разрешение на доступ к сотням уязвимых установок Microsoft Exchange на территории США для удаления web-оболочек с зараженных систем.

Специалисты ИБ-компании Sophos выявили

	хакеров, пытающихся «поживиться» за счет уязвимости ProxyLogon путем тайной установки майнеров криптовалюты Monero.

Стоимость Monero далека от стоимости биткойна, но эту криптовалюту легче майнить. Более того, что немаловажно для киберпреступников, Monero обеспечивает большую анонимность – владельцев кошельков гораздо сложнее отследить.

Хотя заражение серверов майнером криптовалюты может показаться не таким опасным, как атака вымогательского ПО или похищение конфиденциальных данных, оно по-прежнему представляет собой угрозу для организаций. Если хакерам удалось установить майнер, значит: первое – у них есть доступ к корпоративной сети, второе – организация не применила критические обновления, предназначенные для защиты от всех видов атак.

По данным Sophos, принадлежащий злоумышленникам кошелек Monero стал получать криптовалюту 9 марта 2021 года, всего через несколько дней после того, как стало известно об уязвимостях в Microsoft Exchange.

Атака начинается с PowerShell-команды, извлекающей файл через ранее скомпрометированный Outlook Web Acces. В свою очередь, этот файл загружает исполняемую полезную нагрузку для установки майнера Monero. Исполняемый файл содержит модифицированную версию инструмента, доступного всем желающим на GitHub. Когда его содержимое запускается на скомпрометированном сервере, все свидетельства установки удаляются, а процесс майнинга проходит в памяти.

Маловероятно, что операторы серверов, на которых были установлены

криптомайнеры, заметят наличие проблемы. Они могут заподозрить неладное только
в случае, если злоумышленники станут жадничать и начнут использовать слишком
много вычислительной мощности.
 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Хакеры устанавливают майнеры Monero через уязвимости ProxyLogon в Microsoft Exchange