[ Tráfego 9/Out a 7/Nov: 364.110 page views - 138.067 usuários ] - [ Newsletter 5.537 assinantes Open rate 27%]

Exploits do Exchange agora são usados por botnet para minerar criptomoeda

Da Redação
18/03/2021

Os operadores do Lemon_Duck, uma botnet de mineração de criptomoeda que tem como alvo redes corporativas, agora estão usando exploits do Microsoft Exchange ProxyLogon para atacar servidores sem atualizações de para corrigir as falhas relacionadas ao CVE-2021-26855.

O malware é conhecido por instalar mineradores de moedas XMRig Monero (XMR) em máquinas infectadas para minerar criptomoedas para os operadores da botnet.

Os ataques em andamento do Lemon_Duck a servidores Exchange vulneráveis ​​já atingiram uma escala massiva, de acordo com Costin Raiu, diretor da equipe global de pesquisa e análise da Kaspersky.

Segundo os pesquisadores, os invasores estão usando shells da web implantados em servidores comprometidos para baixar cargas maliciosas de p.estonine [.] Com e cdn.chatcdn [.] Net. Esses indicadores de comprometimento associados ao Lemon_Duck também foram observados pelo Huntress Labs ao analisar a exploração em massa de servidores Microsoft Exchange.

Botnet atualizada continuamente

Em ataques anteriores, a botnet foi usada para obter acesso às redes das vítimas através do protocolo SMB usando EternalBlue ou por meio de ataques de força bruta a máquinas Linux e servidores MS SQL.

O Lemon_Duck também oferece suporte à propagação para servidores que executam bancos de dados Redis (REmote DIctionary Server) expostos e clusters Hadoop gerenciados, usando YARN (Yet Another Resource Negotiator). Os operadores da botnet também empregaram campanhas de spam em grande escala com o tema covid-19 para propagação, explorando a vulnerabilidade de execução remota de código (RCE) do Microsoft Office (CVE-2017-8570) para lançar a carga de malware.

Veja isso
Microsoft lança ferramenta para patch do Exchange em PMEs
Mais de 10 grupos APT estão explorando as falhas do Microsoft Exchange

Desde que a Microsoft divulgou os ataques em andamento usando exploits ProxyLogon na semana passada, pelo menos dez grupos de ameaças persistentes avançadas (APT) foram detectados pela empresa de segurança de internet ESET visando servidores Exchange sem patch.

A ESET também detectou a implantação de downloaders do PowerShell em vários servidores de e-mail por meio da infraestrutura de ataque anteriormente vinculada à campanha de mineração de moedas DLTMiner. Uma exploração de prova de conceito ProxyLogon funcional foi compartilhada no início da semana passada (e posteriormente removida) por um pesquisador de segurança vietnamita.

A partir de 9 de março, os operadores do novo ransomware operado por humanos apelidado de DearCry também começaram a criptografar servidores Microsoft Exchange sem patch. De acordo com os dados de telemetria da Palo Alto Networks, mais de 125 mil servidores Exchange ainda aguardam para serem corrigidos em todo o mundo.Dezenas de milhares de organizações já foram comprometidas após ataques em andamento que exploram as falhas do ProxyLogon desde pelo menos janeiro, dois meses antes da Microsoft começar a lançar patches.

Compartilhar: