Срочно. Ботнет-бэкдоры на серверах Microsoft Exchange майнят криптовалюту
Программное обеспечение оставалось незамеченным половину десятилетия
Серверы Microsoft Exchange становятся мишенью для ботнета Prometei и добавляются в число ботов для майнинга криптовалюты Monero (XMR).Ботнет-бэкдоры на серверах Microsoft Exchange майнят криптовалюту. Фото: Pixabay
Модульное вредоносное ПО может заражать как системы Windows, так и Linux, и впервые оно было обнаружено в прошлом году при использовании эксплойта EternalBlue для распространения по скомпрометированным сетям и захвата уязвимых компьютеров Windows, пишет Bleeping Computer.
Команда Cybereason Nocturnus недавно обнаружила, что ботнет, вероятно, был активен почти полдесятилетия, согласно артефактам Prometei, представленным VirusTotal в мае 2016 года.
Основываясь на новых образцах вредоносных программ, недавно обнаруженных Cybereason во время недавнего реагирования на инциденты, ботнет также был обновлён для использования уязвимостей Exchange Server, исправленных Microsoft в марте .
Основным направлением атак Prometei на серверы Exchange является криптомайнинг для своих операторов и распространение на другие устройства в сети с помощью эксплойтов EternalBlue и BlueKeep, сбор учётных данных и модулей распространения SSH или SQL.
«Когда злоумышленники берут под свой контроль заражённые машины, они не только могут добывать биткойны путём кражи вычислительной мощности, но также могут извлекать конфиденциальную информацию, — сказал АСсаф Дахан, старший директор Cybereason и руководитель отдела исследования угроз.— При желании злоумышленники могут также заразить скомпрометированные конечные точки другими вредоносными программами и сотрудничать с бандами вымогателей, чтобы продать доступ к конечным точкам».
Вредоносная программа была обновлена возможностями бэкдора с поддержкой обширного набора команд.
К ним относятся загрузка и выполнение файлов, поиск файлов в заражённых системах и выполнение программ или команд от имени злоумышленников.
Хотя злоумышленники, стоящие за этим ботнетом, неизвестны, есть свидетельства того, что они говорят по-русски. Название ботнета Prometei (по-русски «Прометей»), а также русский код и название продукта использовались в старых версиях.
Исследование Cybereason также указывает на то, что операторы бот-сетей имеют финансовую мотивацию и, вероятно, не спонсируются национальным государством.
«Как было отмечено в недавних атаках Prometei, злоумышленники использовали обнаруженные уязвимости Microsoft Exchange для проникновения в целевые сети», — добавила команда Cybereason Nocturnus.
«Эта угроза представляет собой большой риск для организаций, поскольку злоумышленники имеют полный контроль над заражёнными машинами и, если они того пожелают, могут украсть информацию, заразить конечные точки другими вредоносными программами или даже сотрудничать с бандами вымогателей, продавая доступ к заражённым конечным точкам».
Комментариев пока не было