黑客利用 ProxyLogon 漏洞部署 Monero 加密器
Sophos研究人員報告說,威脅參與者通過利用 ProxyLogon 漏洞在不尋常的攻擊中部署了惡意的Monero加密器,從而將Microsoft Exchange作為攻擊目標。
未知攻擊者正試圖提供負載在受感染的Exchange服務器上的有效負載。
攻擊始于PowerShell命令,該命令從另一臺受感染服務器的Outlook Web Access登錄路徑(/ owa / auth)檢索名為win_r.zip的文件。” 閱讀Sophos發布的分析。* *“ .zip文件不是壓縮檔案,而是一個批處理腳本,然后該腳本調用Windows內置的certutil.exe程序來下載另外兩個文件,即win_s.zip和win_d.zip。”
該攻擊使用PowerShell命令從另一臺受感染服務器的Outlook Web Access登錄路徑(/ owa / auth)檢索名為win_r.zip的文件。專家注意到,該.zip文件不是壓縮的存檔,而是一個批處理腳本,然后該腳本調用了Windows內置的certutil.exe程序來下載win_s.zip和win_d.zip文件。
win_s.zip將以QuickCPU.b64的形式寫到文件系統中,QuickCPU.b64是已編碼的base64中的可執行有效負載,并且可以由certutil應用程序解碼。然后,批處理腳本運行另一個命令,該命令將解碼后的可執行文件輸出到同一中。解碼批處理腳本后,它將運行可執行文件,該可執行文件將從QuickCPU.dat文件中提取加密礦工和配置數據,然后將其注入系統進程并刪除其存在的任何證據。
攻擊中使用的可執行文件包含Github上公開可用的PEx64-Injector工具的修改版本。
QuickCPU.dat存檔中包含的文件中,是用于礦工的配置程序,它看起來像是xmr-stak。默認情況下,有效負載會設置礦工,以便只有能夠安全返回到Monero錢包(用于存儲其值)的TLS連接時,礦工才能進行通信。如果該礦工檢測到證書不匹配(或其他指示TLS MITM的跡象),它會退出并嘗試每30秒重新連接一次。” analsys繼續說道。
該礦工的pools.txt文件被臨時寫入磁盤,其分析使研究人員能夠確定錢包地址和其密碼,以及為礦工池分配的名稱DRUGS。
錢包從3月9日開始接受資金,但是在Microsoft解決了ProxyLogon問題之后,由于許多服務器都受到保護,因此加密采礦活動有所減少。
