Ricorda il gran numero di vulnerabilità che mettono i server Microsoft Exchange a rischio di vari attacchi?
Vulnerabilità ProxyLogon utilizzate negli attacchi di cryptojacking
Ora un altro pericolo dovrebbe essere aggiunto all'elenco delle minacce: il cryptojacking noto anche come mining di criptovaluta. I ricercatori di SophosLabs hanno scoperto che gli aggressori che sfruttano i server Exchange stanno ora utilizzando i server compromessi per ospitare un minatore Monero. Altre minacce contro tali server includono gli attacchi APT, ransomware, e webshell.
"Il team di SophosLabs stava ispezionando la telemetria quando si è imbattuto in un attacco insolito mirato al server Exchange di un cliente. L'attacco inizia con un comando di PowerShell per recuperare un file denominato win_r.zip dal percorso di accesso di Outlook Web Access di un altro server compromesso (/owa / auth)," il rapporto rivelato.
Un attore di minacce non identificato ha tentato di sfruttare l'exploit ProxyLogon per imporre un cryptominer Monero ai server Exchange. Anche il payload stesso è ospitato su un server Exchange compromesso.
Gli eseguibili associati all'attacco sono noti come Mal / Inject-GV e XMR-Stak Miner (PUA). Il rapporto ha anche condiviso un elenco completo di indicatori di compromissione per aiutare le organizzazioni a identificare se sono state attaccate.
Ulteriori informazioni sulle vulnerabilità di ProxyLogon
Il vulnerabilità che interessano Microsoft Exchange Server sono CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, e CVE-2021-27065. Le versioni interessate includono Microsoft Exchange Server 2013, Microsoft Exchange Server 2016, e Microsoft Exchange Server 2019.
I difetti vengono utilizzati come parte di una catena di attacchi, noto come ProxyLogon. Per essere avviato con successo, un attacco richiede una connessione non attendibile a una porta del server Exchange specifica, 443. Questa scappatoia può essere protetta limitando la connessione non attendibile, o configurando una VPN per separare il server dall'accesso esterno. Tuttavia, questi trucchi di mitigazione offrono solo una protezione parziale. L'azienda avverte che altre parti dell'attacco a catena possono essere attivate se un utente malintenzionato ha già accesso o può convincere un amministratore a eseguire un file dannoso.
È degno di nota che lo scorso marzo, gruppi di hacker sponsorizzati dallo stato stavano sfruttando CVE-2020-0688, un'altra vulnerabilità nei server di posta elettronica di Microsoft Exchange. Poi, a maggio, il server Exchange è stato attaccato dal cosiddetto Valar Trojan. L'attacco malware stava prendendo di mira le vittime principalmente in Germania e negli Stati Uniti, in uno scenario di minaccia avanzato fornito ai sistemi vulnerabili in più fasi.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: