Recuerde la gran cantidad de vulnerabilidades que ponen a los servidores de Microsoft Exchange en riesgo de varios ataques.?
Vulnerabilidades de ProxyLogon utilizadas en ataques de criptojacking
Ahora se debe agregar otro peligro a la lista de amenazas: el cryptojacking, también conocido como minería de criptomonedas.. Los investigadores de SophosLabs descubrieron que los atacantes que explotan los servidores de Exchange ahora están utilizando los servidores comprometidos para alojar a un minero de Monero.. Otras amenazas contra dichos servidores incluyen ataques APT., ransomware, y conchas web.
"El equipo de SophosLabs estaba inspeccionando la telemetría cuando se encontró con un ataque inusual dirigido al servidor Exchange de un cliente.. El ataque comienza con un comando de PowerShell para recuperar un archivo llamado win_r.zip de la ruta de inicio de sesión de Outlook Web Access de otro servidor comprometido (/owa / auth)," el informe revelado.
Un actor de amenazas no identificado ha estado intentando aprovechar el exploit ProxyLogon para imponer un criptominer Monero en los servidores de Exchange.. La carga útil en sí también está alojada en un servidor de Exchange comprometido..
Los ejecutables asociados con el ataque se conocen como Mal / Inject-GV y XMR-Stak Miner. (PUA). El informe también compartió una lista completa de indicadores de compromiso para ayudar a las organizaciones a identificar si han sido atacadas..
Más sobre las vulnerabilidades de ProxyLogon
El vulnerabilidades que afectan a Microsoft Exchange Server son CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, y CVE-2021-27065. Las versiones afectadas incluyen Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, y Microsoft Exchange Server 2019.
Los defectos se utilizan como parte de una cadena de ataque., conocido como ProxyLogon. Para ser iniciado con éxito, un ataque requiere una conexión no confiable a un puerto de servidor Exchange específico, 443. Esta laguna se puede proteger restringiendo la conexión que no es de confianza, o configurando una VPN para separar el servidor del acceso externo. Sin embargo, estos trucos de mitigación solo ofrecen protección parcial. La compañía advierte que otras partes del ataque en cadena pueden desencadenarse si un atacante ya tiene acceso o puede convencer a un administrador para que ejecute un archivo malicioso..
Cabe destacar que el pasado mes de marzo, grupos de piratas informáticos patrocinados por el estado estaban explotando CVE-2020-0688, otra vulnerabilidad en los servidores de correo electrónico de Microsoft Exchange. Entonces, En Mayo, el servidor de Exchange fue atacado por el llamado Troyano Valar. El ataque de malware estaba dirigido a víctimas principalmente en Alemania y EE. UU., en un escenario de amenaza avanzado entregado a los sistemas vulnerables en una forma de múltiples etapas.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: