Хакеры атакуют уязвимые серверы Microsoft Exchange

Киберпреступники начали сканировать Интернет в поисках непропатченных серверов Microsoft Exchange Server, чтобы использовать их для майнинга криптовалюты. Исследователи цифровой безопасности предупреждают, что это легкая нажива для злоумышленников.

Они атакуют уязвимые серверы Microsoft Exchange с помощью вредоносного ПО для майнинга криптовалюты, спроектированного для тайного заработка на его оборудовании.

Компания Microsoft в прошлом месяце выпустила критически важные обновления безопасности для предотвращения эксплуатации уязвимых систем. Однако, одна и та же группа хакеров, использующих одну и ту же стратегию, пытается воспользоваться преимуществами не обновленных продуктов Exchange Server.

Исследователи в области кибербезопасности выявили этих злоумышленников и их методы. Они используют эксплойт ProxyLogon для тайной установки криптомайнера Monero на серверах Microsoft Exchange.

Серверное оборудование является предпочтительной мишенью для криптовзломщиков, потому что оно обладает более высокой производительностью, чем настольный компьютер или ноутбук. Уязвимости позволяют хакерам сканировать весь интернет на наличие не обновленных машин и подключать их к сети. Эндрю Брандт, главный исследователь угроз в компании Sophos, сказал, что это легкая нажива для хакеров.

Хотя Monero не так ценен, как Биткоин, он легче добывается и обеспечивает анонимность. Кроме того, владельца кошелька трудно отследить.

Майнеры криптовалюты могут не звучать так плохо, как атака вымогателей, но это все равно вызывает беспокойство организации. Все потому, что злоумышленники смогли получить доступ к сети, поскольку компания еще не применяла обновления для защиты от всевозможных атак.

Согласно анализу компании Sophos, кошелек злоумышленника в Monero начал получать средства в марте, через несколько дней после обнаружения уязвимостей на Microsoft Exchange.

Что это за процесс?

Атаки начались с PowerShell, которая восстанавливает файл с пути входа на взломанный сервер Outlook Web Access. Он загружает полезную нагрузку, которая является исполняемым файлом для установки майнера Monero.

Исследователи сказали, что исполняемые файлы содержат модифицированную версию общедоступного инструмента на Github. Когда скомпрометированный сервер запускает содержимое, доказательства установки больше не доступны. Тем временем, процесс майнинга выполняется в памяти.