Prometei僵尸网络利用未修补的Microsoft Exchange服务器

最新研究显示，攻击者正在利用ProxyLogon Microsoft Exchange Server漏洞，将易受攻击的机器加入名为Prometei的加密货币僵尸网络。

总部位于波士顿的网络安全公司Cybereason在总结其调查结果的分析中说：“Prometei利用最近披露的与铪攻击相关的Microsoft Exchange漏洞，渗透网络进行恶意软件部署、凭证获取等。”。

Prometei于2020年7月由Cisco Talos首次记录，它是一个多模块僵尸网络，该操作背后的参与者使用了大量精心制作的工具和已知的漏洞，如EternalBlue和BlueKeep来获取凭据，横向传播到整个网络，并“增加参与Monero采矿池的系统数量”

Cybereason高级威胁研究员Lior Rochberger说：“Prometei既有基于Windows的版本，也有基于Linux Unix的版本，它会根据检测到的操作系统，在网络上传播时，在目标受感染的机器上调整其有效负载。”，此外，它还“可与四个不同的指挥与控制（C2）服务器进行交互，从而加强僵尸网络的基础设施并保持连续通信，使其更能抵御攻击。”

这些入侵利用了Microsoft Exchange服务器中最近修补的漏洞，目的是滥用Windows系统的处理能力来挖掘Monero。

在该公司观察到的攻击序列中，发现该对手利用Exchange server漏洞CVE-2021-27065和CVE-2021-26858作为初始妥协向量，安装China Chopper web shell并获得网络后门入口。通过这种访问，威胁参与者启动了PowerShell，从远程服务器下载初始Prometei有效载荷。

最新版本的bot模块具有支持大量命令的后门功能，包括另一个名为“Microsoft Exchange Defender”的模块，该模块伪装成合法的Microsoft产品，这很可能会移除机器上可能安装的其他竞争性web外壳，以便Prometei能够访问高效挖掘加密货币所需的资源。

有趣的是，从VirusTotal文物中收集到的最新证据显示，僵尸网络可能早在2016年5月就已经存在，这意味着从那以后，恶意软件一直在不断发展，为其功能添加了新的模块和技术。

在众多金融、保险、零售、制造业、公用事业、旅游业和建筑业的受害者中，已经观察到了PROSTAGI，损害了位于美国、英国和欧洲、南美洲和东亚几个国家的实体网络。同时也明确避免感染前苏联集团国家的目标。

关于攻击者，除了他们说俄语这一事实外，我们所知不多，Prometei的旧版本将其语言代码设置为“俄语”用于与Tor C2服务器通信的单独Tor客户端模块包括一个配置文件，该配置文件被配置为避免使用位于俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦的多个出口节点。

罗克伯格说：“网络犯罪社区中的威胁行为者继续采用类似APT的技术，并提高其行动效率。”。“正如在最近的Prometei攻击中所观察到的那样，威胁参与者利用最近发现的Microsoft Exchange漏洞，利用这些漏洞渗透目标网络。”

她补充说：“这种威胁对组织构成了巨大风险，因为攻击者对受感染的机器拥有绝对控制权，如果他们愿意，他们可以窃取信息，用其他恶意软件感染端点，甚至通过出售对受感染端点的访问权，与勒索软件团伙合作。”。