خبرکاو:

به گفته محققان، هکرها از آسیب‌پذیری‌های شناخته شده ProxyShell برای نصب ماینرهای ارزهای دیجیتال بر روی سرورهای آسیب‌پذیر Microsoft Exchange استفاده می‌کنند.

کارشناسان امنیت سایبری از Morphisec مهاجمان ناشناس را مشاهده کردند که از ProxyShell (یک اصطلاح برای چندین آسیب‌پذیری که وقتی به هم متصل می‌شوند، امکان اجرای کد از راه دور را فراهم می‌کنند) برای نصب XMRig روی سرورهای Microsoft Exchange استفاده می‌کنند.

XMRig یکی از محبوب‌ترین بدافزارهای استخراج ارز دیجیتال است که ارز دیجیتال مونرو (XMR) را برای مهاجمان ایجاد می‌کند. Monero به دلیل ویژگی های حریم خصوصی و این واقعیت که ردیابی آن تقریباً غیرممکن است، یک انتخاب محبوب در بین مجرمان سایبری است.

پنهان شدن در دید آشکار

Morphisec می گوید که آسیب پذیری های مورد استفاده در این کمپین CVE-2021-34473 و CVE-2021-34523 هستند. هر دوی اینها دو سال پیش کشف و وصله شدند. پس ، بهترین راه برای محافظت در برابر این حملات، اعمال اصلاح در نقاط پایانی آسیب‌پذیر است (در برگه جدید باز می‌شود) .

به گفته محققان، مهاجمان همچنین تلاش بیشتری کرده اند تا مطمئن شوند که تا زمانی که ممکن است پنهان می مانند.

هنگامی که ماینر راه‌اندازی شد، یک قانون فایروال ایجاد می‌کند که برای تمام نمایه‌های فایروال ویندوز اعمال می‌شود تا تمام ترافیک خروجی را مسدود کند. به این ترتیب، محققان ادامه دادند، تیم های فناوری اطلاعات و سایر مدافعان از رخنه در سیستم مطلع نخواهند شد.

علاوه بر این، بدافزار بین شروع فرآیند استخراج و ایجاد قانون فایروال حداقل 30 ثانیه منتظر می ماند تا از ایجاد آلارم از ابزارهای امنیتی که بر رفتار زمان اجرا نظارت می کنند، جلوگیری کند.

ماینرهای ارزهای دیجیتال کامپیوتر را از بین نمی برند، اما از آنجایی که تقریباً تمام قدرت محاسباتی را به خود اختصاص می دهند، دستگاه را عملاً بی استفاده می کنند. علاوه بر این، آنها می توانند قبض های برق هنگفتی را برای صاحبان رایانه جمع آوری کنند.

Morphisec همچنین بيان کرد که صاحبان سرورهای Microsoft Exchange آسیب‌پذیر نباید حمله را ساده نگیرند، زیرا پس از ورود به شبکه، هیچ چیز مانع از استقرار هر نوع بدافزار دیگر توسط مهاجمان نمی‌شود.

از طریق: BleepingComputer (در برگه جدید باز می شود)