Prometei-Botnet nutzt Exchange-Server-Fehler zum Wachsen aus

Cyber Security News

Sicherheitsforscher haben entdeckt, dass ein hartnäckiges Kryptowährungs-Mining-Botnet noch ungepatchte Microsoft Exchange-Server ausnutzt, um weltweit zu wachsen.

Das Botnetz mit dem Namen “Prometei” wurde erstmals im Juli 2020 gemeldet und soll laut Cybereason Nocturnus bereits seit 2016 existieren.

Das Forschungsteam stellte jedoch eine neue Entwicklung fest, da die dahinter stehenden Bedrohungsakteure die Microsoft Exchange-Schwachstellen CVE-2021-27065 und CVE-2021-26858 ausnutzen, um in die Netzwerke der Opfer einzudringen, Zugangsdaten zu stehlen und Malware zu installieren.

Diese Fehler sind Teil der vier Zero-Days, die Microsoft im März gepatcht hat, nachdem sie von der chinesischen APT-Gruppe Hafnium ausgenutzt wurden.

“Die Viktimologie ist eher zufällig und opportunistisch als sehr gezielt, was sie noch gefährlicher und weiter verbreitet macht. Es wurde beobachtet, dass Prometei in Systemen in einer Vielzahl von Branchen aktiv ist, darunter: Finanzen, Versicherungen, Einzelhandel, Fertigung, Versorgungsunternehmen, Reisen und Baugewerbe”, so der leitende Bedrohungsforscher Lior Rochberger von Cybereason in einem heutigen Blogbeitrag.

“Es wurde beobachtet, dass Netzwerke in den USA, Großbritannien und vielen anderen europäischen Ländern sowie in Ländern in Südamerika und Ostasien infiziert wurden. Es wurde auch beobachtet, dass die Bedrohungsakteure es anscheinend explizit vermeiden, Ziele in Ländern des ehemaligen Sowjetblocks zu infizieren.”

Nach der anfänglichen Ausnutzung ist das Botnet darauf ausgelegt, sich über das Netzwerk zu verbreiten, um einen Monero-Miner auf so vielen Endpunkten wie möglich zu installieren. Um dies zu tun, verwendet es bewährte Exploits EternalBlue und BlueKeep, sowie das Ernten von Anmeldeinformationen und das Ausnutzen von SMB und RDP neben anderen Komponenten wie SSH-Client und SQL-Spreader, sagte Rochberger.

Vier separate Command-and-Control (C&C)-Server sorgen für zusätzliche Ausfallsicherheit und machen es schwieriger, das Botnet zu stören, fügte er hinzu. Prometei ist auch so konzipiert, dass es Windows- oder Linux-Payloads verwendet, um einzelne Endpunkte zu kompromittieren, je nach deren Betriebssystem.

Assaf Dahan, Senior Director und Leiter der Bedrohungsforschung bei Cybereason, argumentierte, dass das Botnet ein ernsthaftes Risiko darstellt, da in der Vergangenheit zu wenig über es berichtet wurde.

“Wenn die Angreifer die Kontrolle über infizierte Maschinen übernehmen, sind sie nicht nur in der Lage, Bitcoin zu schürfen, indem sie Rechenleistung stehlen, sondern könnten auch sensible Informationen exfiltrieren”, fügte er hinzu.

“Wenn sie dies wünschen, könnten die Angreifer die kompromittierten Endpunkte auch mit anderer Malware infizieren und mit Ransomware-Banden zusammenarbeiten, um den Zugriff auf die Endpunkte zu verkaufen. Erschwerend kommt hinzu, dass Krypto-Mining wertvolle Netzwerk-Rechenleistung abzieht, was sich negativ auf den Geschäftsbetrieb sowie die Leistung und Stabilität kritischer Server auswirkt.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com