Araştırmacılar, bilgisayar korsanlarının savunmasız Microsoft Exchange sunucularına kripto para madencileri yüklemek için bilinen ProxyShell güvenlik açıklarını kullandığını iddia etti.
Morphisec’ten siber güvenlik uzmanları, kimliği belirsiz saldırganların Microsoft Exchange sunucularına XMRig yüklemek için ProxyShell (birlikte zincirlendiğinde uzaktan kod yürütülmesine izin veren birden çok güvenlik açığı için kullanılan şemsiye terim) kullandığını gözlemledi.
XMRig, saldırganlar için Monero (XMR) kripto para birimi üreten, en popüler kripto para madenciliği kötü amaçlı yazılım türevlerinden biridir. Monero, gizlilik özellikleri ve izini sürmenin neredeyse imkansız olması nedeniyle siber suçlular arasında popüler bir seçimdir.
Görünürde saklanmak
Morphisec, bu kampanyada kullanılan güvenlik açıklarının CVE-2021-34473 ve CVE-2021-34523 olduğunu söylüyor. Bunların ikisi de iki yıl önce keşfedildi ve yamalandı. Bu nedenle, bu saldırılara karşı korunmanın en iyi yolu, düzeltmeyi savunmasız uç noktalara uygulamaktır. (yeni sekmede açılır) .
Araştırmacılar, saldırganların mümkün olduğu kadar uzun süre gizli kalmalarını sağlamak için ekstra çaba sarf ettiklerini söyledi.
Madenci ayarlandıktan sonra, tüm giden trafiği engellemek için tüm Windows Güvenlik Duvarı profillerine uygulanan bir güvenlik duvarı kuralı oluşturacaktır. Bu şekilde, diye devam etti araştırmacılar, BT ekipleri ve diğer savunucular sistemdeki ihlalden haberdar olmayacak.
Ayrıca kötü amaçlı yazılım, işlem çalışma zamanı davranışını izleyen güvenlik araçlarından gelen tetikleyici alarmlardan kaçınmak için madencilik sürecini başlatma ile güvenlik duvarı kuralını oluşturma arasında en az 30 saniye bekleyecektir.
Kripto para madencileri bir bilgisayarı mahvetmezler, ancak hesaplama gücünün neredeyse tamamını kapladıkları için cihazı pratik olarak işe yaramaz hale getirirler. Dahası, bilgisayar sahiplerine çok büyük elektrik faturaları getirebilirler.
Morphisec ayrıca, savunmasız Microsoft Exchange sunucusu sahiplerinin saldırıyı hafife almaması gerektiğini, çünkü ağa girdikten sonra saldırganların başka herhangi bir kötü amaçlı yazılım biçimini dağıtmasını engelleyen hiçbir şeyin olmadığını söyledi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)