Los atacantes están explotando las fallas de ProxyLogon Microsoft Exchange Server para cooptar máquinas vulnerables a una botnet de criptomonedas llamada Prometei, según una nueva investigación.

«Prometei explota las vulnerabilidades de Microsoft Exchange recientemente reveladas asociadas con los ataques HAFNIUM para penetrar en la red para el despliegue de malware, la recolección de credenciales y más», dijo la firma de seguridad cibernética Cybereason con sede en Boston en un análisis que resume sus hallazgos.

Documentado por primera vez por Cisco Talos en julio de 2020, Prometei es un botnet multimodular, en el que el actor detrás de la operación emplea una amplia gama de herramientas especialmente diseñadas y exploits conocidos como EternalBlue y BlueKeep para recolectar credenciales, propagarse lateralmente a través de la red y «aumentar la cantidad de sistemas que participan en su grupo de minería Monero».

«Prometei tiene versiones basadas en Windows y Linux-Unix, y ajusta su carga útil según el sistema operativo detectado, en las máquinas infectadas objetivo cuando se propaga por la red», dijo el investigador principal de amenazas de Cybereason, Lior Rochberger, y agregó que está «construido». para interactuar con cuatro servidores de comando y control (C2) diferentes, lo que fortalece la infraestructura de la botnet y mantiene comunicaciones continuas, haciéndola más resistente a los derribos».

Las intrusiones se aprovechan de las vulnerabilidades parcheadas recientemente en los servidores de Microsoft Exchange con el objetivo de abusar del poder de procesamiento de los sistemas Windows para minar Monero.

En la secuencia de ataque observada por la empresa, se descubrió que el adversario explotaba las fallas del servidor de Exchange CVE-2021-27065 y CVE-2021-26858 como un vector de compromiso inicial para instalar el shell web de China Chopper y obtener acceso de puerta trasera a la red. Con este acceso implementado, el actor de amenazas lanzó PowerShell para descargar la carga útil inicial de Prometei desde un servidor remoto.

Las versiones recientes del módulo bot vienen con capacidades de puerta trasera que admiten un amplio conjunto de comandos, incluido un módulo adicional llamado «Microsoft Exchange Defender» que se hace pasar por un producto legítimo de Microsoft, que probablemente se encargue de eliminar otros shells web de la competencia que puedan estar instalados. en la máquina para que Prometei tenga acceso a los recursos necesarios para extraer criptomonedas de manera eficiente.

Curiosamente, la evidencia recién descubierta recopilada de los artefactos de VirusTotal ha revelado que la red de bots puede haber existido ya en mayo de 2016, lo que implica que el malware ha estado evolucionando constantemente desde entonces, agregando nuevos módulos y técnicas a sus capacidades.

Prometei se ha observado en una multitud de víctimas que abarcan los sectores de finanzas, seguros, comercio minorista, manufactura, servicios públicos, viajes y construcción, comprometiendo redes de entidades ubicadas en los EE. UU., el Reino Unido y varios países de Europa, América del Sur y el este de Asia. , mientras que también evita explícitamente infectar objetivos en países del antiguo bloque soviético.

No se sabe mucho sobre los atacantes, aparte del hecho de que hablan ruso, y las versiones anteriores de Prometei tienen su código de idioma configurado como «ruso». Un módulo de cliente Tor separado utilizado para comunicarse con un servidor Tor C2 incluía un archivo de configuración que está configurado para evitar el uso de varios nodos de salida ubicados en Rusia, Ucrania, Bielorrusia y Kazajstán.

«Los actores de amenazas en la comunidad del cibercrimen continúan adoptando técnicas similares a APT y mejorando la eficiencia de sus operaciones», dijo Rochberger. «Como se observó en los recientes ataques de Prometei, los actores de amenazas aprovecharon la ola de las vulnerabilidades de Microsoft Exchange descubiertas recientemente y las explotaron para penetrar en las redes objetivo».

“Esta amenaza supone un gran riesgo para las organizaciones, ya que los atacantes tienen control absoluto sobre las máquinas infectadas, y si lo desean pueden robar información, infectar los endpoints con otro malware o incluso colaborar con bandas de ransomware vendiendo el acceso a la endpoints infectados”, agregó.