Сервери Microsoft Exchange знову атакували

Непропатчені сервери Microsoft Exchange зараз активно заражаються  ботнетом Prometei, а їхні ресурси використовуються  для видобутку криптовалюти Monero (XMR). Про це повідомляє BleepingComputer.

Вищезгадане модульне шкідливе програмне забезпечення може заражати як системи на Windows, так і на Linux, і вперше воно було виявлено минулого року під час використання експлойта EternalBlue для розповсюдження по скомпрометованих мережах і поневолення вразливих комп’ютерів Windows.

Нещодавно команда Nocturnus з фірми  Cybereason виявила, що ботнет, ймовірно, працює майже півроку, згідно артефактів Prometei, знайдених у базі VirusTotal, починаючи з травня 2016 року. На основі нових зразків шкідливого програмного забезпечення, нещодавно знайдених Cybereason під час останніх реакцій на інциденти, виявилося, що ботнет також оновлений для використання вразливостей Exchange Server, виправлених Microsoft у березні.

Основна увага атак Prometei на сервери Exchange полягає у розгортанні корисного навантаження, яке починає заробляти гроші для своїх операторів та розповсюджуватися на інші пристрої в мережі, використовуючи експлойти EternalBlue та BlueKeep, зібрані облікові дані та модулі розповсюджувача SSH або SQL.

“Коли зловмисники беруть під свій контроль заражені машини, вони не тільки здатні видобувати біткоїни, використовуючи обчислювальну потужність, але також можуть проникати в конфіденційну інформацію”, – сказав Асаф Дахан, старший директор  Cybereason та керівник досліджень загроз. “Якщо зловмисники захочуть це зробити, вони також можуть заразити скомпрометовані кінцеві точки іншим шкідливим програмним забезпеченням і співпрацювати з групами вимагачів для продажу доступу до кінцевих точок”.

Однак шкідливе програмне забезпечення було оновлено – туди додали бекдор з підтримкою великого набору команд. Сюди входять завантаження та виконання файлів, пошук файлів на заражених системах та виконання програм або команд від імені зловмисників.

“Останні версії Prometei тепер забезпечують зловмисників складним та прихованим бекдором, який підтримує широкий спектр завдань, які роблять видобуток монет Monero найменшим з зол, яке може непокоїти жертву”, – заявила команда Cybereason.

Хоча актори (и) загрози, що стоять за цим ботнетом, невідомі, є певні докази, що вони говорять російською мовою – включаючи ім’я ботнета, Prometei (Прометей), а також російський код та назву продукту, що використовуються у старих версіях. Дослідження Cybereason також вказують на те, що оператори ботнетів фінансово мотивовані і, можливо, не працюють на чиїсь державні структури.

“Як спостерігалося під час нещодавніх атак Prometei, хакери використали нещодавно виявлені вразливості Microsoft Exchange і використовували їх для проникнення в цільові мережі”, – додала команда Cybereason. “Ця загроза представляє великий ризик для організацій, оскільки зловмисники мають абсолютний контроль над зараженими машинами, і, якщо вони цього бажають, вони можуть викрадати інформацію, заражати кінцеві точки іншим шкідливим програмним забезпеченням або навіть співпрацювати з вимагачами, продаючи доступ до заражених кінцевих точок “.

Недоліки CVE-2021-27065 та CVE-2021-26858, які використовував Prometei, також були використані кількома хакерськими групами, що підтримуються Китаєм, та іншими хакерськими групами для розгортання веб-оболонок, програм-вимагачів та іншого зловмисного програмного забезпечення.

Згідно зі статистикою, якою Microsoft поділилася минулого місяця, приблизно 92% усіх підключених до Інтернету локальних серверів Exchange, які зазнали впливу цих вразливостей, зараз пропатчені та захищені від атак. Компанія також випустила інструмент локального виправлення (EOMT) Exchange, який допомагає власникам малого бізнесу швидко пом’якшити помилки безпеки, навіть без допомоги спеціальної команди безпеки. До того ж, Microsoft Defender Antivirus автоматично захищає ще не пропатчені сервери Exchange від постійних атак, автоматично пом’якшуючи вразливі місця.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як таємно спілкуватися у месенджері Telegram на iOS та Android? ІНСТРУКЦІЯ

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.