Prometei-Botnet nutzt ungepatchte Microsoft Exchange-Schwachstellen zur Verbreitung aus
Inhaltsverzeichnis:
Sicherheitsforscher enthüllen eine bedeutende Verschiebung in den bösartigen Taktiken des Prometei-Botnets, das jetzt in der Lage ist, die „ProxyLogon“-Exploitation für Windows Exchange-Server zu nutzen, um in das Zielnetzwerk einzudringen und Cryptojacking-Malware auf den Computern der Benutzer abzulegen. Obwohl das Hauptziel darin besteht, Monero zu schürfen, indem die Verarbeitungsleistung der infizierten Instanzen ausgenutzt wird, ermöglicht die breite Funktionalität von Prometei seinen Betreibern, eine Vielzahl anderer hochkomplexer Angriffe im Vergleich zu APT-Einbrüchen durchzuführen.
Prometei Botnet-Übersicht
Prometei ist ein mehrstufiges Cryptojacking-Botnetz, das sowohl Linux- als auch Windows-Maschinen angreifen kann. Obwohl es erstmals 2020 entdeckt wurde, glauben Sicherheitsforscher, dass Prometei ursprünglich 2016 auftauchte und sich seitdem verdeckt weiterentwickelte und neue Module hinzufügte. Das Hauptziel des Botnets ist es, Geräte für das schädliche Netzwerk zu versklaven und Monero-Coins über deren Verarbeitungskraft zu schürfen. Um dieses Ziel zu erreichen, wenden die Betreiber von Prometei eine breite Palette bösartiger Werkzeuge an, darunter Mimikatz, Zugangsdaten-Diebstahl, SMB- und RDP-Exploits, SQL-Verteiler sowie andere ruchlose Taktiken, die eine erfolgreiche Verbreitung und weitere Infektionen ermöglichen.
Die neueste Version von Prometei erhielt ein bedeutendes Upgrade, das es der Bedrohung ermöglicht, als verdeckte Hintertür mit vielen ausgeklügelten Funktionen zu agieren. Die Analyse von Cybereason zeigt, dass die Betreiber von Prometei jetzt Daten aus dem Zielnetzwerk stehlen, Endpunkte mit Malware der zweiten Stufe infizieren oder sogar mit Ransomware-Banden zusammenarbeiten können, indem sie Zugriff auf die kompromittierte Infrastruktur verkaufen.
Obwohl es nicht viele Informationen über die Betreiber von Prometei gibt, glauben Sicherheitsexperten, dass eine finanziell motivierte russischsprachige Gruppe hinter diesem Projekt stehen könnte. Diese Annahme wird dadurch gestützt, dass das Botnet Benutzer innerhalb der ehemaligen Sowjetunion meidet.
Microsoft Exchange Zero-Days Ausnutzung
Die neueste Version von Prometei wurde mit einer Reihe kürzlich entdeckter Microsoft Exchange Zero-Day-Exploits (CVE-2021-26858, CVE-2021-27065) ausgestattet, die es authentifizierten Hackern ermöglichen, eine Datei auf beliebigen Pfaden des verwundbaren Exchange-Servers zu schreiben und Remote-Codeausführung zu erreichen. Laut Cybereason verlassen sich die Betreiber des Botnets auf diese Schwachstellen, um China Chopper zu installieren und auszuführen, was wiederum ein PowerShell-Skript startet, das den Prometei-Payload über eine bösartige URL herunterladen kann.
Bemerkenswerterweise wurden dieselben Microsoft Exchange-Schwachstellen im März 2021 aktiv von der mit China verbundenen HAFNIUM-APT-Gruppe sowie anderen staatlichen Akteuren ausgenutzt. Obwohl angenommen wird, dass die Betreiber von Prometei finanziell motivierte Akteure sind, die keine Verbindung zu staatlich geförderten Hackern haben, stellt das breite Werkzeugspektrum und die zunehmende Komplexität der bösartigen Ansätze sie auf die Liste der fortgeschrittenen Bedrohungen, die ernste Gefahren im Hinblick auf Cyber-Spionage, Datendiebstahl und Malware-Verbreitung darstellen.
Laufende bösartige Kampagne
Laut Cybereason ist die laufende Prometei-Aktivität eher opportunistisch und versucht, jede nicht gepatchte Instanz zu infizieren, die auf Microsoft Exchange basiert. Die Liste der Ziele umfasst mehrere Unternehmen, die in den Bereichen Bankwesen, Versicherung, Einzelhandel und Bauwesen in den USA, Südamerika, Europa und Ostasien tätig sind.
Nach der Infektion startet Prometei sein erstes Modul (zsvc.exe), das für die Aufrechterhaltung der Persistenz und die Einrichtung der Kommando-und-Kontroll-Kommunikation (C&C) mit dem Server des Angreifers verantwortlich ist. Dieses Modul verfügt über umfassende Hintertür-Fähigkeiten und steuert den auf dem Ziel-PC installierten XMRig-Cryptominer. Es könnte solche Befehle wie Programmausführung, Dateiöffnung, Start oder Stopp des Mining-Prozesses, Dateidownload, Systeminformationssammlung und mehr starten. Wenn nötig, könnten die Malware-Betreiber weitere Module hinzufügen, um die bösartigen Fähigkeiten von Prometei zu erweitern und seine Funktionen weit über das einfache Monero-Mining hinaus zu fördern.
Bemerkenswert ist, dass die Ausführung von Prometei auch zwei andere bösartige Prozesse (cmd.exe und wmic.exe) startet, die zur Durchführung von Aufklärungsmaßnahmen und zum Blockieren bestimmter IP-Adressen, die mit dem infizierten Gerät kommunizieren, verwendet werden. Dies wird vermutlich getan, um sicherzustellen, dass keine anderen Miner im Netzwerk vorhanden sind und alle Ressourcen Prometeis Dienst stehen.
Prometei Botnet-Erkennung
Um Ihre Unternehmensinfrastruktur vor Prometei-Botnet-Infektionen zu schützen, können Sie eine Community-Sigma-Regel herunterladen, die von unserem engagierten Threat Bounty-Entwickler Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/G04clREUa9nu/#rule-context
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
MITRE ATT&CK:
Taktiken: Umgehung der Verteidigungsmaßnahmen, Zugang zu Zugangsdaten
Techniken: Credential Dumping (T1003), Maskerade (T1036)
Um mögliche Angriffe unter Ausnutzung von Microsoft Exchange-Zero-Days zu verhindern, können Sie maßgeschneiderte Erkennungsregeln herunterladen, die im Threat Detection Marketplace verfügbar sind.
Regeln für die Abdeckung des Exploits CVE-2021-26858
Regeln für die Abdeckung des Exploits CVE-2021-27065
Abonnieren Sie den Threat Detection Marketplace kostenlos, um Ihre Cybersicherheitsfähigkeiten mit unseren über 100.000 Erkennungsalgorithmen und Threat-Hunting-Abfragen, die auf CVE- und MITRE ATT&CK®-Frameworks abgebildet sind, zu verbessern. Möchten Sie Ihre Threat-Hunting-Fähigkeiten monetarisieren und Ihre eigenen Sigma-Regeln erstellen? Treten Sie unserem Threat Bounty-Programm bei!
