Volgens nieuw onderzoek maken aanvallers gebruik van de 'ProxyLogon Microsoft Exchange Server-fouten' om kwetsbare machines te coöpteren voor een cryptocurrency-botnet genaamd 'Prometei'.
"Prometei maakt gebruik van de onlangs onthulde Microsoft Exchange-kwetsbaarheden die verband houden met de HAFNIUM-aanvallen om het netwerk binnen te dringen voor het inzetten van malware, het verzamelen van inloggegevens en meer", zei het in Boston gevestigde cyberbeveiligingsbedrijf Cybereason in een analyse die zijn bevindingen samenvat.
Botnet Prometei
Prometei , voor het eerst gedocumenteerd door Cisco Talos in juli 2020, is een multimodulair botnet, waarbij de actor achter de operatie een breed scala aan speciaal vervaardigde tools en bekende exploits zoals EternalBlue en BlueKeep gebruikt om inloggegevens te verzamelen. De malware verspreid zich over het netwerk en "verhoogt zo het aantal systemen dat deelneemt aan het Monero-mining botnetwerk."
"Prometei heeft zowel Windows-gebaseerde als Linux-Unix-gebaseerde versies, en het past zijn payload aan op basis van het gedetecteerde besturingssysteem, op de beoogde geïnfecteerde machines wanneer ze zich over het netwerk verspreiden", zei Cybereason senior bedreigingsonderzoeker Lior Rochberger, eraan toevoegend dat "het is gebouwd om te communiceren met vier verschillende command-and-control (C2) servers die de infrastructuur van het botnet versterken en continue communicatie onderhouden, waardoor het beter bestand is tegen takedowns. "
Cyber kill chain
In de aanvalssequentie die door het bedrijf werd waargenomen, bleek de tegenstander Exchange-serverfouten CVE-2021-27065 en CVE-2021-26858 te misbruiken als een eerste compromisvector om de China Chopper-webshell te installeren en via de achterdeur toegang tot het netwerk te krijgen. Met deze toegang op zijn plaats, lanceerde de bedreigingsacteur PowerShell om de initiële Prometei-payload van een externe server te downloaden. Meer info over de cyber kill chain 》
"Microsoft Exchange Defender"
Recente versies van de botmodule worden geleverd met backdoor-mogelijkheden die een uitgebreide reeks opdrachten ondersteunen, inclusief extra modules genaamd "Microsoft Exchange Defender" die zich voordoen als legitiem Microsoft-product dat waarschijnlijk zorgt voor het verwijderen van andere concurrerende webshells die mogelijk op de machine zijn geïnstalleerd zodat Prometei toegang krijgt tot de bronnen die nodig zijn om efficiënt cryptocurrency te minen.
Malware evolueert
Interessant is dat recentelijk gevonden bewijs dat is verzameld uit VirusTotal- artefacten heeft onthuld dat het botnet mogelijk al in mei 2016 bestond, wat impliceert dat de malware sindsdien voortdurend evolueert en nieuwe modules en technieken toevoegt aan zijn mogelijkheden.
Prometei is waargenomen bij een groot aantal slachtoffers in de sectoren financiën, verzekeringen, detailhandel, productie, nutsbedrijven, reizen en bouw, waarbij netwerken van entiteiten in de VS, het VK en verschillende landen in Europa, Zuid-Amerika en Oost-Azië in gevaar werden gebracht. Terwijl het ook expliciet vermijdt dat doelwitten in voormalige Sovjet landen worden geïnfecteerd.
Er is niet veel bekend over de aanvallers, behalve het feit dat ze Russisch spreken, waarbij de taalcode van oudere versies van Prometei is ingesteld op "Russisch". Een afzonderlijke Tor-clientmodule die werd gebruikt om te communiceren met een Tor C2-server, bevatte een configuratiebestand dat is geconfigureerd om het gebruik van verschillende exitknooppunten in Rusland, Oekraïne, Wit-Rusland en Kazachstan te vermijden.
"Dreigende actoren in de cybercriminaliteitsgemeenschap blijven APT-achtige technieken toepassen en de efficiëntie van hun operaties verbeteren", aldus Rochberger. "Zoals opgemerkt bij de recente Prometei-aanvallen, hebben de bedreigingsactoren de golf van de recent ontdekte Microsoft Exchange-kwetsbaarheden meegenomen en deze misbruikt om gerichte netwerken binnen te dringen."
"Deze dreiging vormt een groot risico voor organisaties, aangezien de aanvallers absolute controle hebben over de geïnfecteerde machines, en als ze dat willen, kunnen ze informatie stelen, de endpoints infecteren met andere malware of zelfs samenwerken met ransomware bendes door de toegang te verkopen aan de geïnfecteerde eindpunten, " voegde ze eraan toe.
