Rilevazione ProxyShellMiner: Nuovi attacchi di cripto-mining che sfruttano le vulnerabilità ProxyShell CVE-2021-34473 e CVE-2021-34523 nei server Windows Exchange 

Rimani vigile! Gli attori delle minacce hanno di nuovo puntato i server Microsoft Windows Exchange, tentando di comprometterli sfruttando le famose vulnerabilità ProxyShell. I ricercatori di cybersecurity hanno osservato una nuova campagna malevola e evasiva denominata “ProxyShellMiner” che sfrutta due vulnerabilità di Microsoft Exchange ProxyShell tracciate come CVE-2021-34473 e CVE-2021-34523 per distribuire miner di criptovaluta. 

Rilevare gli attacchi ProxyShellMiner che sfruttano le vulnerabilità Microsoft Exchange ProxyShell

Con l’aumento costante degli attacchi di cripto-mining, le organizzazioni cercano nuovi modi per rafforzare le loro capacità di difesa informatica. L’ultima campagna ProxyShellMiner che abusa delle vulnerabilità ProxyShell tracciate come CVE-2021-34473 e CVE-2021-34523 applica sofisticate tecniche di evasione delle rilevazioni e rappresenta una grave minaccia per le organizzazioni compromesse, permettendo agli attori delle minacce di sperimentare una vasta gamma di capacità offensive, dal dispiegamento di malware all’esecuzione di codice. 

Per aiutare le organizzazioni a identificare tempestivamente la presenza di infezioni nel loro ambiente, la piattaforma Detection as Code di SOC Prime ha recentemente pubblicato una nuova regola Sigma per rilevare attacchi di cripto-mining ProxyShellMiner:

Possibile campagna ProxyShellMiner che sfrutta le vulnerabilità CVE-2021-34473 e CVE-2021-34523 [ProxyShell] rilevando file associati (via file_event)

Questa regola Sigma, scritta dal nostro prolifico sviluppatore Threat Bounty, Aytek Aytemur, rileva i file dannosi correlati a una campagna ProxyShellMiner che sfrutta le vulnerabilità ProxyShell. La rilevazione è allineata con il framework MITRE ATT&CK v12, affrontando la tattica di Execution con l’applicazione della tecnica User Execution (T1204) come tecnica principale. La regola Sigma può essere automaticamente tradotta in 20 soluzioni SIEM, EDR e XDR, riducendo i tempi di rilevazione delle minacce su più piattaforme.

Cerchi modi per padroneggiare le tue regole Sigma e le competenze pratiche ATT&CK e ottenere riconoscimento tra i pari del settore? Unisciti al Programma Threat Bounty per codificare il tuo futuro CV, permettendoti di iniziare una carriera in Detection Engineering o avanzare in cybersecurity condividendo le tue regole Sigma con la comunità e monetizzando i tuoi contributi. 

Per essere completamente equipaggiato con contenuti per rilevare tentativi di sfruttamento ProxyShell in corso, SOC Prime cura un set di regole Sigma dedicate. Clicca sui pulsanti qui sotto per accedere ai contenuti per il rilevamento di vulnerabilità CVE-2021-34473 e CVE-2021-34523 filtrati dai tag personalizzati corrispondenti. Tutte le regole Sigma sono arricchite con CTI, forniscono riferimenti ATT&CK e offrono metadati operativi rilevanti per promuovere un’indagine sulle minacce snella.

Esplora rilevazioni per CVE-2021-34473 Esplora rilevazioni per CVE-2021-34523

Analisi dell’attacco di cripto-mining ProxyShellMiner

ProxyShell è un titolo per una serie di tre difetti di sicurezza che, se concatenati, permettono agli avversari di eseguire RCE sui server Microsoft Windows Exchange bersagliati. Queste vulnerabilità sono emerse e sono state corrette da Microsoft nel 2021. Tuttavia, da allora, i difensori informatici hanno osservato vari tentativi di sfruttamento volti a paralizzare i server Exchange interessati, come nella serie di attacchi sofisticati che sfruttano le vulnerabilità ProxyShell per installare web shell sui sistemi compromessi.

Nell’attacco di cripto-mining in corso denominato “ProxyShellMiner”, gli hacker sfruttano due bug ProxyShell conosciuti come CVE-2021-34473 e CVE-2021-34523 per ottenere un punto d’appoggio nel contesto aziendale.

I ricercatori di cybersecurity Morphisec hanno fatto luce sull’attività avversaria correlata. Dopo aver compromesso i server Exchange e preso il controllo della rete dell’organizzazione, gli avversari impiegano un payload basato su .NET nella cartella del controller di dominio per assicurarsi che tutti i dispositivi all’interno dell’ambiente interessato siano infetti. Notoriamente, i server C2 avversari che ospitano i file correlati al malware sembrano essere legittimi, il che rappresenta una sfida per il rilevamento dell’attacco. 

ProxyShellMiner applica una sofisticata crittografia in aggiunta a tecniche avanzate di persistenza ed evasione della rilevazione. Secondo l’indagine di Morphisec, il malware richiede un parametro della riga di comando per l’esecuzione, che viene ulteriormente utilizzato come chiave per configurare il payload XMRig, servendo anche come tecnica anti-analisi runtime. 

Nella seconda fase dell’attacco, ProxyShellMiner scarica un file “DC_DLL”, il quale viene ulteriormente utilizzato per la decrittazione di altri file. Successivamente, gli attori delle minacce sfruttano un secondo downloader malevolo per ottenere persistenza sul sistema compromesso eseguendo un’attività pianificata. 

Nella fase finale dell’attacco, i difensori informatici osservano l’uso di tecniche di evasione della sicurezza che ostacolano il rilevamento di malware. Ciò viene realizzato generando una regola firewall che impatta sui profili di Windows Firewall, permettendo agli attaccanti di distribuire senza problemi il miner XMRig sfruttando la tecnica avversaria RunPE comunemente usata.

I difensori informatici sostengono che le infezioni ProxyShellMiner potrebbero essere altamente pericolose per l’ambiente delle organizzazioni e non dovrebbero essere sottovalutate, poiché dopo aver ottenuto l’accesso alla rete compromessa, gli attaccanti ricevono il via libera per diffondere ulteriori varianti malevole e sfruttare il tunneling inverso per ulteriore danni all’infrastruttura. 

Cerchi uno strumento universale per ottimizzare la tua traduzione del codice di rilevamento su più piattaforme e ottimizzare le tue ricerche basate su IOC? Prova la nuova versione di Uncoder.IOdi SOC Prime, che consente di convertire automaticamente le regole Sigma in oltre 27 soluzioni SIEM, EDR e XDR, oltre a creare query personalizzate sui IOC in pochi secondi per cercare le minacce nel tuo ambiente. Sia gli ingegneri di sicurezza esperti che quelli aspiranti possono anche sfruttare lo strumento per perfezionare le loro regole Sigma con controlli automatizzati integrati e condividere senza problemi la logica di rilevamento con la comunità dei difensori informatici per promuovere la collaborazione nel settore.