Detecção do ProxyShellMiner: Novos Ataques de Crypto-Mining Explorando as Vulnerabilidades ProxyShell CVE-2021-34473 e CVE-2021-34523 em Servidores Windows Exchange 

[post-views]
Fevereiro 17, 2023 · 5 min de leitura
Detecção do ProxyShellMiner: Novos Ataques de Crypto-Mining Explorando as Vulnerabilidades ProxyShell CVE-2021-34473 e CVE-2021-34523 em Servidores Windows Exchange 

Fique alerta! Os agentes de ameaça mais uma vez miram os servidores Microsoft Windows Exchange, tentando comprometê-los explorando as notórias vulnerabilidades ProxyShell. Pesquisadores de segurança cibernética observaram uma nova campanha maliciosa evasiva chamada “ProxyShellMiner” que explora duas falhas do Microsoft Exchange ProxyShell rastreadas como CVE-2021-34473 e CVE-2021-34523 para entregar mineradores de criptomoedas. 

Detectar Ataques ProxyShellMiner Explorando Vulnerabilidades Microsoft Exchange ProxyShell

Com os volumes de ataques de cripto-mineração crescendo constantemente, as organizações estão buscando novas formas de fortalecer suas capacidades de defesa cibernética. A mais recente campanha ProxyShellMiner que abusa das falhas ProxyShell rastreadas como CVE-2021-34473 e CVE-2021-34523 aplica técnicas sofisticadas de evasão de detecção e representa uma ameaça severa para organizações comprometidas, permitindo que agentes de ameaça experimentem uma ampla gama de capacidades ofensivas, desde a implantação de malware até a execução de código. 

Para ajudar as organizações a identificar oportunamente a presença de infecção em seus ambientes, a plataforma Detection as Code da SOC Prime recentemente entregou uma nova regra Sigma para detectar ataques de cripto-mineração ProxyShellMiner:

Possível Campanha ProxyShellMiner Explorando as Vulnerabilidades CVE-2021-34473 e CVE-2021-34523 [ProxyShell] Detectando Arquivos Associados (via file_event)

Esta regra Sigma, escrita por nosso prolífico desenvolvedor Threat Bounty, Aytek Aytemur, detecta arquivos maliciosos relacionados a uma campanha ProxyShellMiner que abusa das vulnerabilidades ProxyShell. A detecção está alinhada com o MITRE ATT&CK framework v12, abordando a tática de Execução com Execução de Usuário (T1204) aplicada como sua técnica principal. A regra Sigma pode ser automaticamente traduzida para 20 soluções SIEM, EDR e XDR, economizando segundos na detecção de ameaças em plataformas cruzadas.

Procurando maneiras de dominar suas regras Sigma e habilidades duras ATT&CK e ganhar reconhecimento entre seus pares da indústria? Junte-se ao Threat Bounty Program para codificar seu futuro CV, permitindo que você inicie uma carreira em Engenharia de Detecção ou avance na cibersegurança compartilhando suas regras Sigma com a comunidade e monetizando suas contribuições. 

Para estar totalmente equipado com conteúdo para detectar tentativas de exploração ongoing do ProxyShell, a SOC Prime curou um conjunto de regras Sigma dedicadas. Clique nos botões abaixo para acessar conteúdo para detectar explorações de vulnerabilidade CVE-2021-34473 e CVE-2021-34523, filtrado pelas etiquetas personalizadas correspondentes. Todas as regras Sigma são enriquecidas com CTI, fornecem referências ATT&CK e oferecem metadados de operação relevantes para fomentar a investigação de ameaças.

Explorar Detecções para CVE-2021-34473 Explorar Detecções para CVE-2021-34523

Análise de Ataques de Cripto-Mineracao ProxyShellMiner

ProxyShell é um título para um trio de falhas de segurança que, se encadeadas, permitem que adversários realizem RCE em servidores Microsoft Windows Exchange alvo. Essas vulnerabilidades vieram à tona e foram corrigidas pela Microsoft em 2021. Entretanto, desde então, defensores cibernéticos têm observado diversas tentativas de exploração visando paralisar os servidores Exchange afetados, como na série de ataques sofisticados que aproveitam as vulnerabilidades ProxyShell para introduzir web shells nos sistemas comprometidos.

No ataque de cripto-mineração ongoing denominado “ProxyShellMiner”, hackers armam dois bugs ProxyShell conhecidos como CVE-2021-34473 e CVE-2021-34523 para ganhar uma posição no ambiente corporativo.

Pesquisadores de segurança cibernética da Morphisec lançam luz sobre a atividade adversária relacionada. Após comprometer servidores Exchange e ganhar controle da rede da organização, os adversários implantam um payload baseado em .NET na pasta do controlador de domínio para garantir que todos os dispositivos dentro do ambiente afetado sejam infectados. Notavelmente, os servidores C2 adversários que hospedam os arquivos relacionados ao malware aparentam ser legítimos, o que representa um desafio para a detecção de ataques. 

ProxyShellMiner aplica criptografia sofisticada além de técnicas avançadas de persistência e evasão de detecção. De acordo com a investigação daMorphisec, o malware requer um parâmetro de linha de comando para execução, sendo posteriormente utilizado como uma chave para configurar o payload XMRig, também servindo como técnica de anti-análise de tempo de execução. 

Na segunda fase do ataque, ProxyShellMiner baixa um arquivo “DC_DLL”, que é posteriormente utilizado para a descriptografia de outros arquivos. Em seguida, os atores de ameaça aproveitam um segundo downloader malicioso para ganhar persistência no sistema comprometido executando uma tarefa agendada. 

Na etapa final do ataque, os defensores cibernéticos observam o uso de técnicas de evasão de segurança que dificultam a detecção de malware. Isso é alcançado gerando uma regra de firewall que afeta os perfis de Firewall do Windows, o que permite que atacantes insiram o minerador XMrig aproveitando a técnica RunPE comumente usada por adversários.

Defensores cibernéticos afirmam que infecções por ProxyShellMiner podem ser altamente perigosas para o ambiente das organizações e não devem ser menosprezadas, já que, após ganhar acesso à rede comprometida, os atacantes recebem sinal verde para disseminar mais variantes maliciosas e aproveitar tunelamento reverso para prejudicar ainda mais a infraestrutura. 

Procurando uma ferramenta universal para simplificar sua tradução de código de detecção para várias plataformas e otimizar suas buscas baseadas em IOC? Experimente a nova versão do Uncoder.IOda SOC Prime, que permite converter automaticamente regras Sigma para mais de 27 soluções SIEM, EDR e XDR, bem como criar consultas de IOC personalizadas em questão de segundos para buscar ameaças em seu ambiente. Tanto engenheiros de segurança experientes quanto aspirantes podem também aproveitar a ferramenta para aprimorar suas regras Sigma com verificações automatizadas embutidas e compartilhar logicamente a detecção com a comunidade de defensores cibernéticos para impulsionar a colaboração na indústria.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade 7 min de leitura Ameaças Mais Recentes Detecção do Malware Koske: Nova Ameaça Linux Gerada por IA em Atividade by Veronika Telychko Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk
Todas as notícias