Prometei-Botnet könnte APT-ähnliche Angriffe auslösen

Cyber Security News

Die Malware nutzt vorerst Exploits für die Microsoft Exchange “ProxyLogon”-Sicherheitslücken, um Monero-Mining-Malware auf Zielen zu installieren.

Ein bisher wenig bekanntes Botnet mit dem Namen Prometei nimmt sich ein Beispiel an den Advanced Persistent Threat (APT)-Cyberangreifern: Die Malware nutzt zwei der Microsoft Exchange-Schwachstellen aus, die gemeinsam als ProxyLogon bekannt sind, um einen Monero-Kryptominer auf seinen Zielen abzuwerfen.

Es ist auch sehr komplex und anspruchsvoll, Forscher festgestellt. Während Kryptojacking ist sein aktuelles Spiel, Cybereason Forscher warnte, dass Prometei (das russische Wort für Prometheus, der Titan Gott des Feuers aus der griechischen Mythologie) gibt Angreifern die vollständige Kontrolle über infizierte Maschinen, die es in der Lage, eine breite Palette von Schäden zu tun macht.

Laden Sie “The Evolution of Ransomware” herunter, um wertvolle Einblicke in aufkommende Trends inmitten des schnell wachsenden Angriffsvolumens zu erhalten. Klicken Sie oben, um Ihre Verteidigungsintelligenz zu verbessern!

“Wenn sie es wollen, können sie Informationen stehlen, die Endpunkte mit anderer Malware infizieren oder sogar mit Ransomware-Banden zusammenarbeiten, indem sie den Zugang zu den infizierten Endpunkten verkaufen”, so Cybereason-Forscher Lior Rochberger in einer am Donnerstag veröffentlichten Analyse. “[And] Da Kryptomining ressourcenfressend sein kann, kann es die Leistung und Stabilität von kritischen Servern und Endpunkten beeinträchtigen, was letztendlich die Geschäftskontinuität beeinträchtigt.”

Der Bericht stellt fest, dass Cybereason in letzter Zeit eine große Anzahl von Prometei-Angriffen auf eine Vielzahl von Branchen beobachtet hat, darunter das Baugewerbe, die Finanz- und Versicherungsbranche, die Fertigungsindustrie, den Einzelhandel, die Reisebranche und Versorgungsunternehmen. Geografisch gesehen wurde beobachtet, dass Netzwerke in den USA, Großbritannien und vielen anderen europäischen Ländern sowie in Ländern in Südamerika und Ostasien infiziert wurden. Es wurde auch beobachtet, dass die Bedrohungsakteure es anscheinend ausdrücklich vermeiden, Ziele in Ländern des ehemaligen Sowjetblocks zu infizieren.

“Die Viktimologie ist eher zufällig und opportunistisch als sehr gezielt, was sie noch gefährlicher und weiter verbreitet macht”, sagte Rochberger.

Ausnutzen von Microsoft Exchange Sicherheitslücken

ProxyLogon besteht aus vier Schwachstellen, die miteinander verkettet werden können, um einen RCE-Exploit (Remote Code Execution) vor der Authentifizierung zu erstellen – was bedeutet, dass Angreifer Server übernehmen können, ohne gültige Anmeldedaten zu kennen. Dadurch erhalten sie Zugriff auf die E-Mail-Kommunikation und die Möglichkeit, eine Web-Shell zu installieren, um die Umgebung weiter auszunutzen, z. B. für den Einsatz von Ransomware oder, wie in diesem Fall, von Kryptominern.

Microsoft warnte letzten Monat, dass die Bugs aktiv von der Advanced Persistent Threat (APT) Hafnium ausgenutzt werden; danach sagten andere Forscher, dass 10 oder mehr weitere APTs sie ebenfalls nutzen.

In Bezug auf Prometei haben Forscher Angriffe auf Unternehmen in Nordamerika beobachtet, die die ProxyLogon-Fehler nutzen, die als CVE-2021-27065 und CVE-2021-26858 verfolgt werden. Bei beiden handelt es sich um Schwachstellen in Exchange, die nach der Authentifizierung beliebige Dateien schreiben können; sobald sie sich bei einem Exchange-Server authentifiziert haben, können Angreifer eine Datei in einen beliebigen Pfad auf dem Server schreiben – und so eine RCE erreichen.

Die Angreifer nutzen die Schwachstellen, um die China Chopper Web-Shell zu installieren und auszuführen, so Rochberger. Anschließend verwenden sie China Chopper, um eine PowerShell zu starten, die wiederum eine Nutzlast von einer vom Angreifer kontrollierten URL herunterlädt. Diese Nutzlast wird dann gespeichert und ausgeführt, was letztendlich die Ausführung des Prometei-Botnets startet.

“Prometei ist ein modulares und mehrstufiges Cryptocurrency-Botnet, das erstmals im Juli 2020 entdeckt wurde und sowohl Windows- als auch Linux-Versionen hat”, erklärte Rochberger, der hinzufügte, dass das Botnet bis ins Jahr 2016 zurückreichen könnte. “Die neuesten Versionen von Prometei bieten den Angreifern nun eine ausgeklügelte und getarnte Backdoor, die eine breite Palette von Aufgaben unterstützt, die das Mining von Monero-Münzen zur geringsten Sorge der Opfer machen.”

Prometei unter der Haube

Das erste Modul des Botnets, zsvc.exe, kopiert sich unter dem Namen “sqhost.exe” nach C:Windows und erstellt dann eine Firewall-Regel, die es sqhost.exe erlaubt, Verbindungen über HTTP herzustellen, so die Untersuchung. Außerdem setzt sie einen Registrierungsschlüssel für die Persistenz und erstellt mehrere andere Registrierungsschlüssel für die spätere Command-and-Control-Kommunikation (C2) durch zusätzliche Module.

“Sqhost.exe ist das Hauptmodul des Bots, komplett mit Backdoor-Funktionen, die eine breite Palette von Befehlen unterstützen”, so die Analyse. “Sqhost.exe ist in der Lage, die Datei prometei.cgi von vier verschiedenen fest codierten C2-Servern zu analysieren. Die Datei enthält den Befehl, der auf dem Rechner ausgeführt werden soll. Die Befehle können als eigenständige native Betriebssystembefehle verwendet werden… oder sie können zur Interaktion mit den anderen Modulen der Malware genutzt werden.”

Es steuert auch den XMRig-Kryptominer, den die Malware auf dem Rechner installiert, so Cybereason. Zu den angebotenen Befehlen gehört die Möglichkeit, ein Programm auszuführen oder eine Datei zu öffnen, den Mining-Prozess zu starten oder zu stoppen, Dateien herunterzuladen, Systeminformationen zu sammeln, zu prüfen, ob ein bestimmter Port offen ist, nach bestimmten Dateien oder Erweiterungen zu suchen und die Malware zu aktualisieren – unter anderem.

“Die Malware-Autoren sind in der Lage, weitere Module hinzuzufügen und ihre Fähigkeiten leicht zu erweitern und möglicherweise sogar auf ein anderes Nutzlast-Ziel umzustellen, das destruktiver ist als nur das Mining von Monero”, warnte Rochberger.

Der Bericht stellte fest, dass die Ausführung der Malware auch zwei andere “Baumprozesse” umfasst: cmd.exe und wmic.exe.

Wmic.exe wird verwendet, um Erkundungsbefehle auszuführen, einschließlich des Erfassens des letzten Starts des Computers, des Computermodells und mehr. In der Zwischenzeit wird Cmd.exe verwendet, um bestimmte IP-Adressen an der Kommunikation mit dem Rechner zu hindern.

“Wir gehen davon aus, dass diese IP-Adressen von anderer Malware verwendet werden, möglicherweise von Minern, und die Angreifer hinter Prometei wollten sicherstellen, dass alle Ressourcen des Netzwerks nur für sie verfügbar sind”, erklärte Rochberger.

Seitliche Malware-Bewegung: Weitere bösartige Module

Prometei verwendet verschiedene Techniken und Tools, von Mimikatz über die Exploits EternalBlue und BlueKeep bis hin zu anderen Tools, die alle zusammenarbeiten, um sich über das Netzwerk zu verbreiten, so die Analyse. Um all dies auszuführen, lädt das Haupt-Botnet-Modul zusätzliche Module herunter, darunter vier Hauptkomponenten: exe exe und eine archivierte Datei, Netwalker.7z (7zip wird zum Extrahieren der Dateien im Archiv verwendet) exe exe

Exchdefender tarnt sich als ein erfundenes Programm namens “Microsoft Exchange Defender”. Es prüft ständig die Dateien in einem Programmdateiverzeichnis, von dem bekannt ist, dass es zum Hosten von Web-Shells verwendet wird, und sucht laut Cybereason vor allem nach einer Datei.

“Die Malware ist speziell an der Datei ‘ExpiredPasswords.aspx’ interessiert, die Berichten zufolge als Name für die Verschleierung der von APT34 (alias OilRig) verwendeten HyperShell-Backdoor verwendet wurde”, so Rochberger. Wenn die Datei existiert, löscht die Malware sie sofort. Unserer Einschätzung nach wird dieses Tool verwendet, um den kompromittierten Exchange Server zu “schützen”, indem potenzielle WebShells gelöscht werden, damit Prometei die einzige Malware bleibt, die seine Ressourcen nutzt.”

Das Netwalker.7z-Archiv ist inzwischen passwortgeschützt, mit dem Passwort “horhor123.” Das Archiv enthält die folgenden Dateien: Nethelper2.exe, Nethelper4.exe, Windrlver.exe, ein paar DLLs, eine Kopie von RdpcIip.exe und ein paar DLLs, die von den Bot-Komponenten verwendet werden.

RdcIip.exe ist eine Schlüsselkomponente der Malware, die zum Sammeln von Anmeldeinformationen und zur seitlichen Ausbreitung im Netzwerk verwendet wird, erklärte Rochberger. Er versucht auch, sich innerhalb der Netzwerkumgebung zu verbreiten, indem er Benutzernamen und Passwörter mit Hilfe einer eingebauten Liste von häufigen Kombinationen erzwingt, sagte er.

Wenn das nicht funktioniert, wendet er sich dem SMB-Shared-Drive-Exploit EternalBlue zu, um einen Shell-Code zur Installation des Haupt-Bot-Moduls Sqhost.exe auszuführen. Um den Exploit nutzen zu können, stuft die Malware das SMB-Protokoll auf SMB1 herab, das für diesen Exploit anfällig ist. Cybereason beobachtete außerdem, dass das Modul den RDP-Exploit (Remote Desktop Protocol) BlueKeep verwendet.

Interessanterweise kann RdpcIip auch andere Komponenten des Bots koordinieren, wie z. B. Windlver.exe, eine OpenSSH- und SSLib-basierte Software, die die Angreifer erstellt haben, um sich per SSH über das Netzwerk zu verbreiten, so der Bericht.

“[RdpcIip] hat eine riesige (vertrauen Sie uns, riesige) Funktionalität mit verschiedenen Zweigen, deren Hauptzweck es ist, mit anderen Komponenten der Malware zu interagieren und sie alle zusammen arbeiten zu lassen”, sagte Rochberger.

Und schließlich ist Miwalk.exe eine angepasste Version des Mimikatz-Tools zum Auffinden von Anmeldeinformationen, das von RdpcIip.exe gestartet wird. Die Ausgabe wird in Textdateien gespeichert und von RdpcIip verwendet, während es versucht, die Anmeldeinformationen zu validieren und sich zu verbreiten, so die Analyse.

Von den APTs abgeschaut

Die Gruppe hinter Prometei ist finanziell motiviert und wird von russischsprachigen Personen betrieben, steht aber laut Cybereason nicht hinter einem Nationalstaat. Nichtsdestotrotz zeigt die Raffinesse der Malware und die schnelle Einbindung von ProxyLogon-Exploits fortgeschrittene Fähigkeiten, die das Botnet zu einer ernsthaften Gefahr in Bezug auf Spionage, Informationsdiebstahl, Folge-Malware und mehr machen könnten, warnte Rochberger.

“Bedrohungsakteure in der Cybercrime-Community übernehmen weiterhin APT-ähnliche Techniken und verbessern die Effizienz ihrer Operationen”, erklärte er. “Prometei ist ein komplexes und mehrstufiges Botnetz, das aufgrund seiner Tarnkappe und seines breiten Spektrums an Fähigkeiten das kompromittierte Netzwerk einem großen Risiko aussetzt…Die Bedrohungsakteure ritten auf der Welle der kürzlich entdeckten Schwachstellen und nutzten diese aus, um in gezielte Netzwerke einzudringen. Wir gehen davon aus, dass sich die fortschrittlichen Techniken, die von verschiedenen Bedrohungsakteuren zu unterschiedlichen Zwecken eingesetzt werden, weiter entwickeln werden, darunter auch Cybercrime-Gruppen.”

Laden Sie unser exklusives KOSTENLOSES Threatpost Insider eBook, “2021: The Evolution of Ransomware”, um Ihre Cyber-Abwehrstrategien gegen diese wachsende Geißel zu verbessern. Wir gehen über den Status Quo hinaus und decken auf, was als Nächstes auf Ransomware und die damit verbundenen neuen Risiken zukommt. Lesen Sie die ganze Geschichte und DOWNLOADen Sie das eBook jetzt – bei uns!

Einige Teile dieses Artikels stammen aus:
threatpost.com