La Botnet Prometei Sfrutta le Vulnerabilità Non Corrette di Microsoft Exchange per la Propagazione
Indice:
I ricercatori di sicurezza rivelano un cambiamento significativo nelle tattiche malevole della botnet Prometei, che ora è in grado di sfruttare l’exploit “ProxyLogon” per i server Windows Exchange per penetrare nella rete mirata e installare malware di cryptojacking sui computer degli utenti. Sebbene l’obiettivo principale sia quello di minare Monero sfruttando le risorse di elaborazione delle istanze infette, la ampia funzionalità di Prometei consente ai suoi operatori di eseguire una varietà di altri attacchi altamente sofisticati paragonabili per complessità alle intrusioni APT.
Panoramica della Botnet Prometei
Prometei è una botnet di cryptojacking a più fasi in grado di colpire sia macchine Linux che Windows. Sebbene sia stata scoperta per la prima volta nel 2020, i ricercatori di sicurezza ritengono che Prometei sia emersa inizialmente nel 2016, evolvendosi segretamente e aggiungendo nuovi moduli da allora. L’obiettivo principale della botnet è quello di assoggettare i dispositivi alla rete malevola e minare monete Monero attraverso le loro risorse di elaborazione. Per raggiungere questo obiettivo, i manutentori di Prometei applicano una vasta gamma di strumenti malevoli, inclusi Mimikatz, raccolta di credenziali, exploit SMB e RDP, diffusori SQL oltre ad altre tattiche nefaste che potenziano la propagazione e ulteriori infezioni.
L’ultima versione di Prometei ha ricevuto un significativo aggiornamento che consente alla minaccia di agire come una backdoor furtiva con molteplici funzioni sofisticate. L’ analisi di Cybereason indica che gli operatori di Prometei possono ora rubare dati dalla rete bersaglio, infettare endpoint con malware di seconda fase, o persino collaborare con bande di ransomware vendendo l’accesso all’infrastruttura compromessa.
Sebbene non ci siano molte informazioni sui manutentori di Prometei, gli esperti di sicurezza ritengono che un gruppo russofono motivato finanziariamente possa essere dietro questo progetto. Tale ipotesi è provata dal fatto che la botnet evita di infettare utenti all’interno della regione dell’ex Unione Sovietica.
Sfruttamento delle vulnerabilità Zero-Days di Microsoft Exchange
L’ultima versione di Prometei è stata dotata di un set di sfruttamenti zero-day di Microsoft Exchange (CVE-2021-26858, CVE-2021-27065), che permette a hacker autenticati di scrivere un file in qualsiasi percorso sul server Exchange vulnerabile e ottenere esecuzione di codice remoto. Secondo Cybereason, gli operatori della botnet si affidano a questi errori per installare ed eseguire China Chopper, che lancia ulteriormente un PowerShell in grado di scaricare il payload di Prometei tramite URL malevoli.
È degno di nota che le stesse vulnerabilità di Microsoft Exchange sono state attivamente sfruttate in campo dalla HAFNIUM APT affiliata alla Cina così come da altri attori statali durante marzo 2021. Sebbene si ritenga che i manutentori di Prometei siano attori motivati finanziariamente senza legami con hacker sponsorizzati dallo stato, l’ampio set di strumenti e la complessità crescente degli approcci malevoli li pone nella lista delle minacce avanzate che rappresentano un grave pericolo in termini di cyber-spionaggio, furto di dati e distribuzione di malware.
Campagna Maligna in Corso
Secondo Cybereason, l’attività in corso di Prometei è piuttosto opportunistica e tenta di infettare qualsiasi istanza non patchata che si basi su Microsoft Exchange. La lista dei bersagli include diverse aziende che operano nei settori bancario, assicurativo, retail e delle costruzioni negli Stati Uniti, Sud America, Europa e Asia orientale.
Al momento dell’infezione, Prometei lancia il suo primo modulo (zsvc.exe), responsabile del mantenimento della persistenza e dell’instaurazione della comunicazione di comando e controllo (C&C) con il server dell’attaccante. Questo modulo ha ampie capacità di backdoor e controlla il cryptominer XMRig installato sul PC bersaglio. Può lanciare comandi come l’esecuzione di programmi, l’apertura di file, l’avvio o l’arresto del processo di mining, il download di file, la raccolta di informazioni di sistema e altro ancora. Se necessario, gli operatori del malware possono aggiungere ulteriori moduli per potenziare le capacità malevole di Prometei e ampliarne le funzioni ben oltre il semplice mining di Monero.
È degno di nota che l’esecuzione di Prometei avvia anche altri due processi malevoli (cmd.exe e wmic.exe), utilizzati per eseguire ricognizioni e bloccare determinati indirizzi IP dalla comunicazione con il dispositivo infetto. Questo presumibilmente viene fatto per garantire che nessun altro miner sia presente sulla rete e che tutte le risorse siano al servizio di Prometei.
Rilevamento della Botnet Prometei
Per proteggere l’infrastruttura della tua azienda dalle infezioni della botnet Prometei, puoi scaricare una regola Sigma comunitaria rilasciata dal nostro appassionato sviluppatore di Threat Bounty Kyaw Pyiyt Htet:
https://tdm.socprime.com/tdm/info/G04clREUa9nu/#rule-context
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
MITRE ATT&CK:
Tattiche: Evasione Difese, Accesso Credenziali
Tecniche: Dumping Credenziali (T1003), Mascheramento (T1036)
Inoltre, per prevenire possibili attacchi che si basano sugli zero-day di Microsoft Exchange, puoi scaricare regole di rilevamento su misura disponibili nel Threat Detection Marketplace.
Regole che coprono l’exploit CVE-2021-26858
Regole che coprono l’exploit CVE-2021-27065
Iscriviti gratuitamente al Threat Detection Marketplace per potenziare le tue capacità di difesa informatica con i nostri oltre 100K algoritmi di rilevamento e query di ricerca delle minacce mappate nei framework CVE e MITRE ATT&CK®. Desideri monetizzare le tue abilità di ricerca delle minacce e creare le tue regole Sigma? Unisciti al nostro Threat Bounty Program!
