Киберпреступники атакуют уязвимые серверы Microsoft Exchange с целью установки ПО для майнинга криптовалюты в рамках вредоносной кампании, направленной на использование вычислительных мощностей скомпрометированных систем для заработка.
В ходе атак злоумышленники эксплуатируют раскрытые в прошлом месяце уязвимости в Microsoft Exchange, известные как ProxyLogon. Хакерские группировки всех мастей, начиная от APT-групп и заканчивая финансово мотивированными киберпреступниками, эксплуатировали их для взлома почтовых серверов. Одна из китайских киберпреступных группировок проложила путь для дальнейших атак, установив на взломанных серверах web-оболочки China Chopper. Как недавно сообщал SecurityLab, ФБР получило судебное разрешение на доступ к сотням уязвимых установок Microsoft Exchange на территории США для удаления web-оболочек с зараженных систем.
Специалисты ИБ-компании Sophos выявили хакеров, пытающихся «поживиться» за счет уязвимости ProxyLogon путем тайной установки майнеров криптовалюты Monero.
Стоимость Monero далека от стоимости биткойна, но эту криптовалюту легче майнить. Более того, что немаловажно для киберпреступников, Monero обеспечивает большую анонимность – владельцев кошельков гораздо сложнее отследить.
Хотя заражение серверов майнером криптовалюты может показаться не таким опасным, как атака вымогательского ПО или похищение конфиденциальных данных, оно по-прежнему представляет собой угрозу для организаций. Если хакерам удалось установить майнер, значит: первое – у них есть доступ к корпоративной сети, второе – организация не применила критические обновления, предназначенные для защиты от всех видов атак.
По данным Sophos, принадлежащий злоумышленникам кошелек Monero стал получать криптовалюту 9 марта 2021 года, всего через несколько дней после того, как стало известно об уязвимостях в Microsoft Exchange.
Атака начинается с PowerShell-команды, извлекающей файл через ранее скомпрометированный Outlook Web Acces. В свою очередь, этот файл загружает исполняемую полезную нагрузку для установки майнера Monero. Исполняемый файл содержит модифицированную версию инструмента, доступного всем желающим на GitHub. Когда его содержимое запускается на скомпрометированном сервере, все свидетельства установки удаляются, а процесс майнинга проходит в памяти.
Маловероятно, что операторы серверов, на которых были установлены криптомайнеры, заметят наличие проблемы. Они могут заподозрить неладное только в случае, если злоумышленники станут жадничать и начнут использовать слишком много вычислительной мощности.