Botnet Prometei Explora Vulnerabilidades Não Corrigidas do Microsoft Exchange para Propagação

Pesquisadores de segurança revelam uma mudança significativa nas táticas maliciosas da botnet Prometei, que agora é capaz de aproveitar a exploração “ProxyLogon” para servidores Windows Exchange para penetrar na rede-alvo e instalar malware de cryptojacking nos dispositivos dos usuários. Embora o objetivo principal seja minerar Monero explorando o poder de processamento das instâncias infectadas, a ampla funcionalidade do Prometei permite que seus operadores realizem uma variedade de outros ataques altamente sofisticados em comparação com as intrusões APT em sua complexidade.

Visão Geral da Botnet Prometei

Prometei é uma botnet de cryptojacking de múltiplos estágios capaz de atingir máquinas Linux e Windows. Embora tenha sido descoberta pela primeira vez em 2020, pesquisadores de segurança acreditam que a Prometei emergiu inicialmente em 2016, evoluindo secretamente e adicionando novos módulos desde então. O principal objetivo da botnet é escravizar dispositivos para a rede maliciosa e minerar moedas Monero através de seu poder de processamento. Para alcançar esse objetivo, os mantenedores do Prometei aplicam uma ampla variedade de ferramentas maliciosas, incluindo Mimikatz, coleta de credenciais, explorações SMB e RDP, disseminadores de SQL, bem como outras táticas nefastas que impulsionam a propagação bem-sucedida e infecções adicionais.

A versão mais recente do Prometei recebeu uma atualização significativa permitindo que a ameaça atue como uma backdoor sorrateira com muitas funções sofisticadas. A análise da Cybereason indica que os operadores do Prometei agora podem roubar dados da rede-alvo, infectar o endpoint com malware de segundo estágio ou até mesmo fechar parceria com gangues de ransomware vendendo acesso à infraestrutura comprometida.

Embora não haja muita informação sobre os mantenedores do Prometei, especialistas em segurança acreditam que um grupo de língua russa com motivação financeira pode estar por trás deste projeto. Tal suposição é comprovada pelo fato de a botnet evitar infectar usuários na região da ex-União Soviética.

Exploração de Zero-Days no Microsoft Exchange

A versão mais recente do Prometei foi equipada com um conjunto de explorações zero-day recentemente descobertas no Microsoft Exchange (CVE-2021-26858, CVE-2021-27065), que permitem que hackers autenticados escrevam um arquivo em qualquer caminho no servidor Exchange vulnerável e alcancem a execução remota de código. De acordo com a Cybereason, os operadores da botnet dependem desses bugs para instalar e executar China Chopper, que por sua vez lança um PowerShell capaz de baixar a carga do Prometei através de uma URL maliciosa.

Notavelmente, as mesmas vulnerabilidades no Microsoft Exchange foram ativamente exploradas na natureza pelo grupo HAFNIUM APT afiliado à China, bem como por outros atores estatais durante março de 2021. Embora se acredite que os mantenedores do Prometei sejam atores com motivações financeiras sem ligações com hackers patrocinados por estados, o amplo conjunto de ferramentas e a crescente complexidade das abordagens maliciosas os colocam na lista de ameaças avançadas que representam sério perigo em termos de espionagem cibernética, roubo de dados e entrega de malware.

Campanha Maliciosa Contínua

De acordo com a Cybereason, a atividade contínua do Prometei é bastante oportunista e tenta infectar qualquer instância não corrigida que dependa do Microsoft Exchange. A lista de alvos inclui várias empresas que operam nos setores bancário, de seguros, varejo e construção nos EUA, América do Sul, Europa e Ásia Oriental.

Após a infecção, o Prometei lança seu primeiro módulo (zsvc.exe), responsável por alcançar a persistência e estabelecer comunicação de comando e controle (C&C) com o servidor do atacante. Este módulo possui amplas capacidades de backdoor e controla o minerador XMRig instalado no PC alvo. ele pode lançar comandos como execução de programas, abertura de arquivos, início ou interrupção do processo de mineração, download de arquivos, obtenção de informações do sistema e mais. Se necessário, os operadores do malware podem adicionar mais módulos para ampliar as capacidades maliciosas do Prometei e promover suas funções além da simples mineração de Monero.

Notavelmente, a execução do Prometei também lança outros dois processos maliciosos (cmd.exe e wmic.exe), que são usados para realizar reconhecimento e bloquear certos endereços IP de se comunicarem com o dispositivo infectado. Presumivelmente, isso é feito para garantir que nenhum outro minerador esteja presente na rede e todos os recursos estejam a serviço do Prometei.

Detecção da Botnet Prometei

Para proteger a infraestrutura da sua empresa contra infecções da botnet Prometei, você pode baixar uma regra Sigma da comunidade liberada pelo nosso desenvolvedor ávido do Threat Bounty Kyaw Pyiyt Htet: 

https://tdm.socprime.com/tdm/info/G04clREUa9nu/#rule-context

A regra possui traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix

MITRE ATT&CK:

Táticas: Evasão de Defesa, Acesso a Credenciais

Técnicas: Extração de Credenciais (T1003), Disfarce (T1036)

Além disso, para prevenir possíveis ataques que dependem de zero-days do Microsoft Exchange, você pode baixar regras de detecção personalizadas disponíveis no Threat Detection Marketplace.

Regras que cobrem a exploração CVE-2021-26858

Regras que cobrem a exploração CVE-2021-27065

Inscreva-se no Threat Detection Marketplace gratuitamente para impulsionar suas capacidades de defesa cibernética com nossos mais de 100K algoritmos de detecção e consultas de caça a ameaças mapeadas para as estruturas CVE e MITRE ATT&CK®. Ansioso para monetizar suas habilidades de caça a ameaças e criar suas próprias regras Sigma? Junte-se ao nosso Programa Threat Bounty!

Ir para a Plataforma Junte-se ao Threat Bounty