Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Botnet Prometei khai thác Microsoft Exchange Server chưa vá lỗ hổng
Hacker đang khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server để thêm các máy vào mạng botnet tiền điện tử có tên Prometei.
"Prometei khai thác các lỗ hổng Microsoft Exchange mới phát hiện trong các cuộc tấn công HAFNIUM xâm nhập vào mạng để triển khai mã độc, thu thập thông tin đăng nhập và thực hiện các hoạt động độc hại khác", theo các chuyên gia công ty an ninh mạng Cybereason (trụ sở tại Boston).
Được ghi nhận lần đầu bởi Cisco Talos vào tháng 7/2020, Prometei là mạng botnet đa mô-đun, khai thác các lỗ hổng đã được biết đến như EternalBlue và BlueKeep để thu thập thông tin xác thực và tăng số lượng hệ thống tham gia vào mạng khai thác Monero.
"Prometei có cả phiên bản dựa trên Windows và Linux-Unix và được điều chỉnh cho phù hợp với từng hệ điều hành", nhà nghiên cứu Lior Rochberger của Cybereason cho biết thêm: "botnet được xây dựng kết nối với 4 máy chủ C&C khác nhau, giúp tăng cường cơ sở hạ tầng và duy trì liên lạc liên tục, giảm nguy cơ bị gỡ bỏ”.
Những kẻ xâm nhập lợi dụng các lỗ hổng mới được vá gần đây trên Microsoft Exchange Server để khai thác Monero.
Trong chuỗi tấn công mà Cybereason quan sát được, hacker khai thác lỗ hổng CVE-2021-27065 và CVE-2021-26858 để cài web shell Chopper của Trung Quốc và xâm nhập qua backdoor. Sau khi chiếm được quyền truy cập, hacker khởi chạy PowerShell để tải xuống Prometei từ một máy chủ từ xa.
Các phiên bản gần đây của mô-đun bot đi kèm với các backdoor hỗ trợ một bộ lệnh mở rộng, bao gồm một mô-đun bổ sung có tên "Microsoft Exchange Defender" giả mạo sản phẩm của Microsoft. Mô-đun này có khả năng loại bỏ các web shell cạnh tranh khác trên máy để Prometei có quyền truy cập vào các tài nguyên cần thiết nhằm khai thác tiền điện tử một cách hiệu quả.
Theo dấu vết trên VirusTotal, botnet có thể đã xuất hiện vào đầu tháng 5/2016, cho thấy phần mềm độc hại đã không ngừng phát triển kể từ đó, bổ sung thêm các mô-đun và kỹ thuật mới.
Prometei nhắm tới nạn nhân trong nhiều lĩnh vực như tài chính, bảo hiểm, bán lẻ, sản xuất, tiện ích, du lịch và xây dựng, xâm phạm mạng lưới các tổ chức đặt tại Hoa Kỳ, Vương quốc Anh và một số quốc gia ở Châu Âu, Nam Mỹ và Đông Á, nhưng có vẻ không lây nhiễm tại các nước thuộc khối Liên Xô cũ.
Không có nhiều thông tin về những kẻ tấn công ngoài việc sử dụng tiếng Nga, với các phiên bản Prometei cũ hơn có mã ngôn ngữ Russian. Một mô-đun máy khách Tor riêng biệt được sử dụng để giao tiếp với máy chủ Tor C2 bao gồm tệp cấu hình để tránh sử dụng một số exit node tại Nga, Ukraine, Belarus và Kazakhstan.
"Prometei khai thác các lỗ hổng Microsoft Exchange mới phát hiện trong các cuộc tấn công HAFNIUM xâm nhập vào mạng để triển khai mã độc, thu thập thông tin đăng nhập và thực hiện các hoạt động độc hại khác", theo các chuyên gia công ty an ninh mạng Cybereason (trụ sở tại Boston).
Được ghi nhận lần đầu bởi Cisco Talos vào tháng 7/2020, Prometei là mạng botnet đa mô-đun, khai thác các lỗ hổng đã được biết đến như EternalBlue và BlueKeep để thu thập thông tin xác thực và tăng số lượng hệ thống tham gia vào mạng khai thác Monero.
"Prometei có cả phiên bản dựa trên Windows và Linux-Unix và được điều chỉnh cho phù hợp với từng hệ điều hành", nhà nghiên cứu Lior Rochberger của Cybereason cho biết thêm: "botnet được xây dựng kết nối với 4 máy chủ C&C khác nhau, giúp tăng cường cơ sở hạ tầng và duy trì liên lạc liên tục, giảm nguy cơ bị gỡ bỏ”.
Những kẻ xâm nhập lợi dụng các lỗ hổng mới được vá gần đây trên Microsoft Exchange Server để khai thác Monero.
Trong chuỗi tấn công mà Cybereason quan sát được, hacker khai thác lỗ hổng CVE-2021-27065 và CVE-2021-26858 để cài web shell Chopper của Trung Quốc và xâm nhập qua backdoor. Sau khi chiếm được quyền truy cập, hacker khởi chạy PowerShell để tải xuống Prometei từ một máy chủ từ xa.
Các phiên bản gần đây của mô-đun bot đi kèm với các backdoor hỗ trợ một bộ lệnh mở rộng, bao gồm một mô-đun bổ sung có tên "Microsoft Exchange Defender" giả mạo sản phẩm của Microsoft. Mô-đun này có khả năng loại bỏ các web shell cạnh tranh khác trên máy để Prometei có quyền truy cập vào các tài nguyên cần thiết nhằm khai thác tiền điện tử một cách hiệu quả.
Theo dấu vết trên VirusTotal, botnet có thể đã xuất hiện vào đầu tháng 5/2016, cho thấy phần mềm độc hại đã không ngừng phát triển kể từ đó, bổ sung thêm các mô-đun và kỹ thuật mới.
Prometei nhắm tới nạn nhân trong nhiều lĩnh vực như tài chính, bảo hiểm, bán lẻ, sản xuất, tiện ích, du lịch và xây dựng, xâm phạm mạng lưới các tổ chức đặt tại Hoa Kỳ, Vương quốc Anh và một số quốc gia ở Châu Âu, Nam Mỹ và Đông Á, nhưng có vẻ không lây nhiễm tại các nước thuộc khối Liên Xô cũ.
Không có nhiều thông tin về những kẻ tấn công ngoài việc sử dụng tiếng Nga, với các phiên bản Prometei cũ hơn có mã ngôn ngữ Russian. Một mô-đun máy khách Tor riêng biệt được sử dụng để giao tiếp với máy chủ Tor C2 bao gồm tệp cấu hình để tránh sử dụng một số exit node tại Nga, Ukraine, Belarus và Kazakhstan.
Nguồn: The Hacker News