Prometei-Botnetz nutzt ungepatchte Microsoft Exchange-Server aus

Cyber Security News

Angreifer nutzen die ProxyLogon-Schwachstellen von Microsoft Exchange Servern aus, um anfällige Rechner für ein Kryptowährungs-Botnet namens Prometei zu kooptieren, so eine neue Untersuchung.

“Prometei nutzt die kürzlich bekannt gewordenen Microsoft Exchange-Schwachstellen im Zusammenhang mit den HAFNIUM-Angriffen aus, um in das Netzwerk einzudringen und dort Malware zu installieren, Anmeldeinformationen zu sammeln und vieles mehr”, so die in Boston ansässige Cybersicherheitsfirma Cybereason in einer Analyse, die ihre Ergebnisse zusammenfasst.

Erstmals von Cisco Talos im Juli 2020 dokumentiert, ist Prometei ein multimodulares Botnetz, wobei der Akteur hinter der Operation eine breite Palette von speziell entwickelten Tools und bekannten Exploits wie EternalBlue und BlueKeep einsetzt, um Anmeldeinformationen zu sammeln, sich seitlich im Netzwerk zu verbreiten und “die Anzahl der Systeme zu erhöhen, die an seinem Monero-Mining-Pool teilnehmen.”

[Blocked Image: https://thehackernews.com/images/-F6uIYIM1HU4/YHc_zlYQIjI/AAAAAAAA3ww/LiZQUqk8VF4NmFffFdQLXkunBuUDOa4FgCLcBGAsYHQ/s300-e100/thn-300-5.png]

“Prometei hat sowohl Windows- als auch Linux-Unix-basierte Versionen und passt seine Nutzlast je nach erkanntem Betriebssystem auf den infizierten Zielrechnern an, wenn es sich im Netzwerk ausbreitet”, sagte Lior Rochberger, Senior Threat Researcher bei Cybereason, und fügte hinzu: “Es ist so aufgebaut, dass es mit vier verschiedenen Command-and-Control-Servern (C2) interagiert, was die Infrastruktur des Botnetzes stärkt und die kontinuierliche Kommunikation aufrechterhält, was es resistenter gegen Takedowns macht.”

Die Eindringlinge nutzen die kürzlich gepatchten Schwachstellen in Microsoft Exchange Servern mit dem Ziel, die Rechenleistung der Windows-Systeme zum Mining von Monero zu missbrauchen.

In der von der Firma beobachteten Angriffssequenz wurde festgestellt, dass der Angreifer die Exchange-Server-Schwachstellen CVE-2021-27065 und CVE-2021-26858 als anfänglichen Kompromittierungsvektor ausnutzte, um die China Chopper Web-Shell zu installieren und durch eine Hintertür in das Netzwerk einzudringen. Mit diesem Zugang startete der Angreifer PowerShell, um die anfängliche Prometei-Nutzlast von einem Remote-Server herunterzuladen.

[Blocked Image: https://thehackernews.com/images/-QPt-u63tvwA/YIJ6AaW7GPI/AAAAAAAACWg/z8_YGp_eggY-c6gUKoOyrf5D3cZtnDdzwCLcBGAsYHQ/s0/malware.jpg]

Neuere Versionen des Bot-Moduls verfügen über Backdoor-Funktionen, die einen umfangreichen Befehlssatz unterstützen, einschließlich zusätzlicher Module namens “Microsoft Exchange Defender”, die sich als legitimes Microsoft-Produkt ausgeben, das sich wahrscheinlich darum kümmert, andere konkurrierende Web-Shells zu entfernen, die möglicherweise auf dem Computer installiert sind, damit Prometei Zugriff auf die Ressourcen erhält, die für ein effizientes Mining von Kryptowährungen erforderlich sind.

Interessanterweise haben neu entdeckte Beweise aus VirusTotal-Artefakten ergeben, dass das Botnet bereits im Mai 2016 existiert haben könnte, was bedeutet, dass die Malware seitdem ständig weiterentwickelt wurde und neue Module und Techniken zu ihren Fähigkeiten hinzugefügt hat.

[Blocked Image: https://thehackernews.com/images/-InfTQtUM5C4/YHc_0ZGpd6I/AAAAAAAA3w4/MWDrU14UJKQj4OKBMbp0NWLiHrGgZ1IwQCLcBGAsYHQ/s728-e100/thn-728-5.png]

Prometei wurde bei einer Vielzahl von Opfern aus den Bereichen Finanzen, Versicherungen, Einzelhandel, Fertigung, Versorgungsunternehmen, Reisen und Bauwesen beobachtet. Dabei wurden Netzwerke von Unternehmen in den USA, Großbritannien und mehreren Ländern in Europa, Südamerika und Ostasien kompromittiert, während Ziele in Ländern des ehemaligen Sowjetblocks ausdrücklich nicht infiziert wurden.

Über die Angreifer ist nicht viel bekannt, außer der Tatsache, dass sie russischsprachig sind, wobei ältere Versionen von Prometei ihren Sprachcode auf “Russisch” eingestellt haben. Ein separates Tor-Client-Modul, das verwendet wird, um mit einem Tor-C2-Server zu kommunizieren, enthielt eine Konfigurationsdatei, die so konfiguriert ist, dass mehrere Exit-Knoten in Russland, der Ukraine, Weißrussland und Kasachstan nicht verwendet werden.

“Bedrohungsakteure in der Cybercrime-Community übernehmen weiterhin APT-ähnliche Techniken und verbessern die Effizienz ihrer Operationen”, so Rochberger. “Wie bei den jüngsten Prometei-Angriffen zu beobachten war, ritten die Bedrohungsakteure auf der Welle der kürzlich entdeckten Microsoft Exchange-Schwachstellen und nutzten sie aus, um in die Zielnetzwerke einzudringen.”

“Diese Bedrohung stellt ein großes Risiko für Unternehmen dar, da die Angreifer die absolute Kontrolle über die infizierten Rechner haben. Wenn sie es wünschen, können sie Informationen stehlen, die Endpunkte mit anderer Malware infizieren oder sogar mit Ransomware-Banden zusammenarbeiten, indem sie den Zugriff auf die infizierten Endpunkte verkaufen”, fügte sie hinzu.

Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com