Microsoft Exchange ProxyShell flaws exploited in new crypto-mining attack
พบมัลแวร์ตัวใหม่ที่ชื่อ ProxyShellMiner ใช้ประโยชน์จากช่องโหว่ของ Microsoft Exchange ProxyShell เพื่อขุด cryptocurrency ซึ่งช่องโหว่ของ Microsoft Exchange นี้ถูกค้นพบและแก้ไขในปี 2021 จากการโจมตีดังกล่าว Morphisec พบว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ของ ProxyShell ถูกติดตามเป็น CVE-2021-34473 และ CVE-2021-34523 ช่องโหว่นี้จะทำให้ bypass การตรวจสอบความถูกต้องและเรียกใช้โค้ดจากระยะไกล ทำให้ผู้โจมตีสามารถควบคุมเซิร์ฟเวอร์ Microsoft Exchange ได้
เมื่อเข้าถึงเซิร์ฟเวอร์ของ Microsoft Exchange แล้วผู้โจมตีจะปล่อยเพย์โหลดมัลแวร์ NET ลงในโฟลเดอร์ NETLOGON ของ domain controller เพื่อให้แน่ใจว่าอุปกรณ์ทั้งหมดบนเครือข่ายเรียกใช้มัลแวร์และเพื่อให้มัลแวร์เปิดใช้งานได้จำเป็นต้องมีพารามิเตอร์ที่เหมือนกับรหัสผ่านสำหรับ XMRig miner ProxyShellMiner ใช้การฝังอัลกอริธึมการถอดรหัส XOR และ Key XOR ที่ดาวน์โหลดจาก remote server จากนั้นจะใช้ compiler C# CSCexe พร้อมกับ compile พารามิเตอร์ InMemory เพื่อดำเนินการฝัง code modules ตัวถัดไป
จากนั้นมัลแวร์จะดาวน์โหลดไฟล์ชื่อ DC_DLL และ NET เพื่อแยก arguments สำหรับ task scheduler , XML และ Key XMRig ซึ่งจะมีไฟล์ DLL สำหรับการถอดรหัสไฟล์เพิ่มเติม จากนั้นจะดาวน์โหลดโปรแกรมที่สองสำหรับสร้างการคงอยู่ของระบบที่ติดไวรัสด้วยการสร้าง scheduled task ที่กำหนดค่าให้ทำงานเมื่อผู้ใช้เข้าสู่ระบบ และสุดท้ายตัวดาวน์โหลดที่สองจะถูกดาวน์โหลดพร้อมกับไฟล์อื่นๆ อีก 4 ไฟล์ ซึ่งไฟล์นั้นจะถูกแทรกไว้บนเบราว์เซอร์ที่ถูกติดตั้งบนระบบที่ถูกบุกรุกและจะถูกใช้เพื่อแทรกตัวขุด cryptocurrency เข้าไปในพื้นที่หน่วยความจำ โดยใช้เทคนิคที่เรียกว่า process hollowing หลังจากนั้นการขุดจะเริ่มต้นขึ้น เพื่อป้องกันมัลแวร์ ProxyShellMiner ทาง Morphisec แนะนำให้ผู้ดูแลระบบทุกคนใช้การอัปเดตแพตช์ด้านความปลอดภัยอย่างสม่ำเสมอ และใช้การตรวจจับและป้องกันภัยคุกคามที่ครอบคลุมมากยิ่งขึ้น
https://www.bleepingcomputer.com/news/security/microsoft-exchange-proxyshell-flaws-exploited-in-new-crypto-mining-attack/