Um novo cryptojacking foi descoberta por pesquisadores de segurança em Morphisec . A campanha, que foi apelidada de ProxyShellMiner pela Morphisec, explora três vulnerabilidades nos servidores Microsoft Exchange para instalar um minerador Monero em máquinas comprometidas.
ProxyShellMiner – Mais uma exploração do Microsoft Exchange
ProxyShellMiner é uma campanha de cryptojacking que aproveita três vulnerabilidades em servidores Microsoft Exchange para obter a execução remota de código e instalar um Monero nas máquinas infectadas. Uma vez que os invasores tenham conquistado uma posição na rede, eles podem fazer qualquer coisa, desde a implantação de backdoor até a execução do código.
As vulnerabilidades são:
– CVE-2021-34473: Uma vulnerabilidade arbitrária de gravação de arquivo que permite que um invasor grave shells da Web em qualquer caminho no servidor. – CVE-2021-34523: uma vulnerabilidade de elevação de privilégio que permite que um invasor ignore autenticação e acessar qualquer caixa de correio no servidor. – CVE-2021-31207: uma vulnerabilidade de execução remota de código que permite a execução de um invasor comandos arbitrários no servidor.
A campanha foi detectada pela primeira vez pela Morphisec em agosto de 2021, quando eles observaram um aumento na execução de scripts maliciosos do PowerShell nas máquinas de seus clientes. Os scripts foram baixados de sites comprometidos que hospedavam web shells escritos pelos invasores usando CVE-2021-34473. Os scripts usaram CVE-2021-34523 e CVE-2021-31207 para executar comandos nos servidores Exchange de destino e instalar um minerador Monero chamado XMRig. O minerador foi configurado para usar um serviço de proxy chamado ProxyPipe, que oculta o tráfego de mineração e o torna mais difícil de detectar.
A campanha visa servidores Exchange que não foram corrigidos para as três vulnerabilidades. A Morphisec encontrou evidências de que alguns dos servidores infectados também foram comprometidos por outros agentes de ameaças usando diferentes shells da Web e malware. Isso sugere que vários grupos estão explorando as mesmas vulnerabilidades e competindo pelo acesso a servidores vulneráveis.
Proteção do Microsoft Exchange contra o ProxyShellMiner
A melhor maneira de se proteger do ProxyShellMiner é aplicar as últimas atualizações de segurança da Microsoft para seus servidores Exchange. A Microsoft lançou patches para essas vulnerabilidades em abril e maio de 2021 como parte de suas atualizações de segurança mensais.
Você também deve monitorar o tráfego de sua rede em busca de qualquer atividade suspeita, como conexões com domínios ou endereços IP desconhecidos ou alto uso de CPU em seus servidores. Você pode usar ferramentas como a plataforma Endpoint Threat Prevention da Morphisec para detectar e bloquear scripts maliciosos do PowerShell e outras ameaças avançadas.
Se você suspeitar que seu servidor Exchange foi comprometido por ProxyShellMiner ou qualquer outro malware, você deve isolá-lo de sua rede e realizar uma investigação e correção completas. Você também deve alterar suas senhas e revogar quaisquer tokens ou certificados de acesso suspeitos.
Dica do dia: Cansado da notificação padrão do Windows e de outros sons do sistema? Em nosso tutorial, mostramos como alterar os sons do Windows ou desativar totalmente os sons do sistema.