Prometeiボットネットが未パッチのMicrosoft Exchange脆弱性を利用して拡散

セキュリティ研究者はPrometeiボットネットの悪意のある戦術における重要な変化を明らかにしました。これにより、Windows Exchangeサーバー用の「ProxyLogon」エクスプロイトを利用して、ターゲットとするネットワークに侵入し、ユーザーのマシンにクリプトジャッキングマルウェアを投下することが可能になりました。主な目的は感染したインスタンスの処理能力を利用してMoneroを採掘することですが、Prometeiの広範な機能により、その運営者はAPT侵入に匹敵する高度な様々な攻撃を実行することができます。

Prometeiボットネットの概要

Prometeiは、LinuxとWindowsの両方のマシンを対象とすることができる多段階のクリプトジャッキングボットネットです。最初に発見されたのは2020年ですが、セキュリティ研究者はPrometeiが2016年に最初に出現し、それ以来密かに進化し、新しいモジュールを追加してきたと考えています。ボットネットの主な目標は、デバイスを悪意のあるネットワークに取り込み、その処理能力を利用してMoneroコインを採掘することです。この目的を達成するために、Prometeiの管理者はMimikatz、資格情報収集、SMBおよびRDPエクスプロイト、SQLスプレッダーなどを含む多様な悪意のあるツールを適用し、成功した広がりとさらなる感染を促進しています。 

最新バージョンのPrometeiは、洗練された多数の機能を持つステルスバックドアとしての機能を備えた大幅なアップグレードを受けました。 Cybereasonの分析 によると、Prometeiの運営者は今やターゲットネットワークからのデータの盗難、エンドポイントの第二段階マルウェアへの感染、またはランサムウェアギャングとの提携を通じて侵害されたインフラストラクチャへのアクセスを販売することが可能です。

Prometeiの管理者についての情報はあまり多くありませんが、セキュリティ専門家は、財政的動機を持つロシア語話者のグループがこのプロジェクトの背後に立っている可能性があると考えています。この仮説は、ボットネットが旧ソビエト連邦地域内のユーザーを感染させないことで裏付けられています。

Microsoft Exchangeゼロデイの悪用

Prometeiの最新バージョンは、最近発見された一連の Microsoft Exchangeゼロデイエクスプロイト (CVE-2021-26858, CVE-2021-27065)を装備しており、認証されたハッカーが脆弱なExchangeサーバー上の任意のパスにファイルを書き込むことができ、リモートコードを実行することができます。Cybereasonによると、ボットネットの運営者はこれらのバグに頼り、悪意のあるURLを介してPrometeiのペイロードをダウンロードできるPowerShellをさらに起動するChina Chopperをインストールおよび実行しています。

注目すべきことに、同じMicrosoft Exchangeの脆弱性は、2021年3月に中国系のHAFNIUM APTグループや他の国家的なアクターによって活発に悪用されました。Prometeiの管理者は、国家支援を受けたハッカーとは関係のない財政的動機を持つアクターとされていますが、広範なツールセットと悪意のあるアプローチの増大する複雑さにより、サイバースパイ、データ盗難、マルウェアの配送に関して深刻な危険をもたらす高度な脅威のリストに載せられています。

継続中の悪意のあるキャンペーン

Cybereasonによると、現在のPrometeiの活動はむしろ機会主義的で、Microsoft Exchangeを利用して未パッチのインスタンスを感染させようとしています。ターゲットのリストには、米国、南米、ヨーロッパ、東アジアにわたる銀行、保険、小売、建設部門で働く複数の企業が含まれています。

感染した場合、Prometeiは最初のモジュール（zsvc.exe）を起動し、持続性を達成し、攻撃者のサーバーとのコマンド・アンド・コントロール（C&C）通信を確立します。このモジュールは広範なバックドア機能を持ち、ターゲットPCにインストールされたXMRigクリプトマイナーを制御します。プログラムの実行、ファイルの開放、マイニングプロセスの開始または停止、ファイルのダウンロード、システム情報の収集などのコマンドを起動する可能性があります。必要に応じて、マルウェアの運営者はPrometeiの悪意ある能力を強化し、単なるMoneroマイニングを超えた機能を推進するために、さらに多くのモジュールを追加することがあります。

特に、Prometeiの実行は、偵察を行い、感染したデバイスとの通信をブロックするためにcmd.exeとwmic.exeという2つの他の悪意あるプロセスも起動します。これは、おそらくネットワーク上に他のマイナーが存在せず、すべてのリソースがPrometeiのサービスにあることを確認するために行われています。

Prometeiボットネットの検出

企業のインフラストラクチャをPrometeiボットネット感染から保護するために、当社の熱心なThreat Bountyデベロッパー Kyaw Pyiyt Htet: 

によってリリースされたコミュニティSigmaルールをダウンロードできます。

このルールは以下のプラットフォームに対して翻訳されています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

MITRE ATT&CK:

戦術: 防御回避、資格情報アクセス

テクニック: 資格情報ダンピング (T1003)、偽装 (T1036)

また、Microsoft Exchangeゼロデイを利用した可能性のある攻撃を防ぐために、Threat Detection Marketplaceから利用可能なカスタマイズされた検出ルールをダウンロードできます。 

CVE-2021-26858エクスプロイトをカバーするルール

CVE-2021-27065エクスプロイトをカバーするルール 

Threat Detection Marketplaceに無料で登録し、100K以上の検出アルゴリズムと脅威ハンティングクエリを活用してサイバー防御能力を強化しましょう。脅威ハンティングスキルを収益化し、独自のSigmaルールを作成したいですか？Threat Bounty Programに参加しましょう！

プラットフォームに移動 Threat Bountyに参加