Les pirates utilisent les vulnérabilités connues de ProxyShell pour installer des mineurs de crypto-monnaie sur des serveurs Microsoft Exchange vulnérables, ont affirmé des chercheurs.
Les experts en cybersécurité de Morphisec ont observé des attaquants non identifiés utilisant ProxyShell (un terme générique désignant plusieurs vulnérabilités qui, lorsqu’elles sont enchaînées, permettent l’exécution de code à distance) pour installer XMRig sur des serveurs Microsoft Exchange.
XMRig est l’une des variantes de logiciels malveillants d’extraction de crypto-monnaie les plus populaires, générant la crypto-monnaie Monero (XMR) pour les attaquants. Monero est un choix populaire parmi les cybercriminels en raison de ses fonctionnalités de confidentialité et du fait qu’il est presque impossible à tracer.
Cachant à la vue
Morphisec indique que les vulnérabilités utilisées dans cette campagne sont CVE-2021-34473 et CVE-2021-34523. Ces deux éléments ont été découverts et corrigés il y a deux ans. Par conséquent, la meilleure façon de se protéger contre ces attaques est d’appliquer le correctif aux terminaux vulnérables. (s’ouvre dans un nouvel onglet).
Les attaquants ont également déployé des efforts supplémentaires pour s’assurer qu’ils restent cachés aussi longtemps que possible, ont déclaré les chercheurs.
Une fois le mineur configuré, il créera une règle de pare-feu, appliquée à tous les profils de pare-feu Windows, pour bloquer tout le trafic sortant. De cette façon, ont poursuivi les chercheurs, les équipes informatiques et les autres défenseurs ne seront pas informés de la brèche dans le système.
De plus, le logiciel malveillant attendra au moins 30 secondes entre le démarrage du processus de minage et la création de la règle de pare-feu, pour éviter de déclencher des alarmes à partir d’outils de sécurité qui surveillent le comportement d’exécution du processus.
Les mineurs de crypto-monnaie ne détruiront pas un ordinateur, mais comme ils occupent presque toute la puissance de calcul, ils rendront l’appareil pratiquement inutile. De plus, ils pourraient faire grimper d’énormes factures d’électricité aux propriétaires d’ordinateurs.
Morphisec a également déclaré que les propriétaires de serveurs Microsoft Exchange vulnérables ne devraient pas prendre l’attaque à la légère, car après avoir pénétré dans le réseau, rien n’empêche les attaquants de déployer toute autre forme de malware.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)