这 最近的Microsoft Exchange Server漏洞 最初可能是由政府支持的APT团体利用的,但是网络罪犯很快也效仿,利用它们来提供勒索软件并发展其僵尸网络。
后者活动的肇事者是Prometei,这是一个跨平台(Windows,Linux)的模块化Monero采矿僵尸网络,似乎已经在雷达下飞了很多年。
攻击者的作案手法
Cybereason事件响应者已经目睹了僵尸网络奴役全球各行各业的公司的情况。
Cybereason的高级威胁研究员Lior Rochberger表示:“受害者行为是相当随机和机会主义的,而不是针对性很强的,这使其更加危险和广泛。”
但是,响应者注意到的一件事是,僵尸网络避免了前苏联集团国家的目标。 由于这些原因及其他原因,他们认为该网站是由讲俄语的网络犯罪分子而不是国家资助的威胁行为者经营的。
僵尸网络除了利用CVE-2021-27065和CVE-2021-26858这两个MS Exchange漏洞外,还使用已知的漏洞利用程序(EternalBlue和BlueKeep)来利用SMB和RDP协议中的旧安全问题,并通过蛮力SSH凭据进行传播到受感染网络上尽可能多的端点。
Prometei的进攻顺序
该恶意软件还擅长于对防御者隐藏起来,并防止其他潜在的攻击者使用受感染的端点。
它使用各种持久性技术并创建防火墙规则和注册表项,以确保可以与C&C服务器建立通信。 它使用Mimikatz的自定义版本来收集凭据。
它还添加了防火墙规则来阻止其他(加密采矿)恶意软件使用的某些IP地址,并使用伪装成合法的Microsoft终结点安全程序的模块来不断检查经常用于托管Web Shell的目录。
“该恶意软件特别对文件’ExpiredPasswords.aspx’感兴趣,据报道,该文件是用来掩盖APT34(又名OilRig)使用的HyperShell后门的名称。 如果文件存在,恶意软件会立即将其删除。” Rochberger 解释了。
“我们的评估是,该工具用于通过删除潜在的WebShell来’保护’受感染的Exchange Server,因此Prometei仍将是使用其资源的唯一恶意软件。”
旧的威胁?
普罗米泰(Prometei)首次被发现, 记录在案 由Cisco Talos研究人员于2020年提出,但Cybereason研究人员发现了证据,它可以追溯到2016年,并且一直在发展,并为其功能添加了新的模块和技术。
Cybereason威胁研究主管高级总监Assaf Dahan对Help Net Security说:“在调查过程中,我们发现旧基础设施的各个组成部分已被拆除。”
“在2019年至2020年初之间,Prometei的运营商对僵尸网络进行了一些重大更改,其中包括使用代码中嵌入的4个不同的C2服务器-试图使僵尸网络更能抵御恶意攻击。 我们认为与Prometei有关的最新妥协潮是进一步构建僵尸网络并扩大其运营范围的又一次尝试。”
阅读更多