El Botnet Prometei Explotan Vulnerabilidades No Reparadas de Microsoft Exchange para la Propagación
Tabla de contenidos:
Los investigadores de seguridad revelan un cambio significativo en las tácticas maliciosas del botnet Prometei, que ahora es capaz de aprovechar el exploit “ProxyLogon” para los servidores Windows Exchange para penetrar en la red objetivo e instalar malware de cryptojacking en las máquinas de los usuarios. Aunque el objetivo principal es minar Monero explotando los recursos de procesamiento de las instancias infectadas, la amplia funcionalidad de Prometei permite a sus operadores realizar una variedad de otros ataques altamente sofisticados comparados con intrusiones APT en cuanto a complejidad.
Descripción general del botnet Prometei
Prometei es un botnet de cryptojacking en múltiples etapas capaz de atacar tanto a máquinas Linux como Windows. Aunque se descubrió por primera vez en 2020, los investigadores de seguridad creen que Prometei emergió inicialmente en 2016, evolucionando de forma encubierta y añadiendo nuevos módulos desde entonces. El objetivo principal del botnet es esclavizar dispositivos para la red maliciosa y minar Monero utilizando sus poderes de procesamiento. Para lograr este objetivo, los mantenedores de Prometei aplican una amplia variedad de herramientas maliciosas, incluyendo Mimikatz, recolección de credenciales, exploits SMB y RDP, propagadores SQL, así como otras tácticas nefastas que facilitan la propagación exitosa y nuevas infecciones.
La última versión de Prometei recibió una actualización significativa que permite a la amenaza actuar como una puerta trasera sigilosa con muchas funciones sofisticadas. El análisis de Cybereason indica que los operadores de Prometei ahora pueden robar datos de la red objetivo, infectar puntos finales con malware de segunda etapa, o incluso asociarse con bandas de ransomware vendiendo acceso a la infraestructura comprometida.
Aunque no hay mucha información sobre los mantenedores de Prometei, los expertos en seguridad creen que un grupo de habla rusa con motivación financiera podría estar detrás de este proyecto. Tal suposición se prueba por el hecho de que el botnet evita infectar a usuarios dentro de la región de la ex Unión Soviética.
Explotación de Zero-Days de Microsoft Exchange
La última versión de Prometei ha sido equipada con un conjunto de exploits de día cero de Microsoft Exchange (CVE-2021-26858, CVE-2021-27065), que permiten a los hackers autenticados escribir un archivo en cualquier ruta en el servidor Exchange vulnerable y lograr la ejecución remota de código. Según Cybereason, los operadores del botnet dependen de estos fallos para instalar y ejecutar China Chopper, lo que a su vez lanza un PowerShell capaz de descargar la carga de Prometei a través de una URL maliciosa.
Notablemente, las mismas vulnerabilidades de Microsoft Exchange fueron explotadas activamente en estado salvaje por el grupo APT HAFNIUM afiliado a China, así como por otros actores a nivel estatal durante marzo de 2021. Aunque se cree que los mantenedores de Prometei son actores motivados financieramente sin vínculos con hackers respaldados por el estado, el conjunto de herramientas amplio y la creciente complejidad de los enfoques maliciosos los colocan en la lista de amenazas avanzadas que representan un grave peligro en términos de ciberespionaje, robo de datos y entrega de malware.
Campaña Maliciosa en Curso
Según Cybereason, la actividad actual de Prometei es más bien oportunista y trata de infectar cualquier instancia sin parches que dependa de Microsoft Exchange. La lista de objetivos incluye múltiples empresas que trabajan en los sectores bancario, de seguros, minorista y de construcción en los EE.UU., América del Sur, Europa y Asia Oriental.
Una vez infectado, Prometei lanza su primer módulo (zsvc.exe), responsable de lograr la persistencia y establecer comunicación de mando y control (C&C) con el servidor del atacante. Este módulo tiene amplias capacidades de puerta trasera y controla el criptominador XMRig instalado en la PC de destino. puede lanzar comandos como ejecución de programas, apertura de archivos, inicio o detención del proceso de minería, descarga de archivos, recopilación de información del sistema, y más. Si es necesario, los operadores del malware podrían agregar más módulos para potenciar las capacidades maliciosas de Prometei y ampliar sus funciones mucho más allá de la simple minería de Monero.
Notablemente, la ejecución de Prometei también lanza otros dos procesos maliciosos (cmd.exe y wmic.exe), que se utilizan para realizar reconocimiento y bloquear ciertas direcciones IP de comunicarse con el dispositivo infectado. Esto presumiblemente se hace para asegurar que no haya otros mineros presentes en la red y que todos los recursos estén al servicio de Prometei.
Detección del Botnet Prometei
Para proteger la infraestructura de su empresa de infecciones por el botnet Prometei, puede descargar una regla Sigma de la comunidad lanzada por nuestro desarrollador de Threat Bounty entusiasta Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/G04clREUa9nu/#rule-context
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
MITRE ATT&CK:
Tácticas: Evasión de Defensa, Acceso a Credenciales
Técnicas: Volcado de Credenciales (T1003), Suplantación de Identidad (T1036)
Además, para prevenir posibles ataques que dependan de vulnerabilidades de día cero de Microsoft Exchange, puede descargar reglas de detección personalizadas disponibles en el Mercado de Detección de Amenazas.
Reglas que cubren el exploit CVE-2021-26858
Reglas que cubren el exploit CVE-2021-27065
Suscríbase al Mercado de Detección de Amenazas de forma gratuita para mejorar sus capacidades de defensa cibernética con nuestros más de 100,000 algoritmos de detección y consultas de búsqueda de amenazas asignadas a los marcos CVE y MITRE ATT&CK®. ¿Ansioso por monetizar sus habilidades de búsqueda de amenazas y crear sus propias reglas Sigma? ¡Únase a nuestro Programa de Recompensas de Amenazas!
