Microsoft Exchange-ийн хэд хэдэн эмзэг байдлыг “ProxyShellMiner”-ийн шинэ халдлагад ашигласан

"ProxyShellMiner" нэртэй шинэ хортой программ нь “Microsoft Exchange   ProxyShell ”-ийн эмзэг байдлыг ашиглан криптовалют олборлогчдыг байршуулж, хохирогчдоос ашиг олдог.
“ProxyShell” нь 2021 онд илрүүлж зассан Microsoft Exchange-ийн гурван эмзэг байдлын нийтлэг нэр юм. Хамтдаа эдгээр эмзэг талууд нь алсын кодыг баталгаажуулахгүйгээр гүйцэтгэх боломжийг олгож, халдагчдад тодорхой Exchange серверийг бүрэн хянах, мөн байгууллагын бусад серверүүдтэй холбогдох боломжийг олгодог.
Халдагчид “.NET” хортой програм хангамжийн ачааллыг домэйн хянагчийн NETLOGON хавтсанд буулгаж, сүлжээн дэх бүх төхөөрөмжүүд хортой програмыг ажиллуулж чадах эсэхийг баталгаажуулдаг. Үүнийг идэвхжүүлэхийн тулд командын мөрийн параметр шаардлагатай бөгөөд үүнийг “XMRig Miner” бүрэлдэхүүн хэсгийн нууц үг болгон хуулбарласан болно.
Дараа нь, хоёр дахь дуудагч нь халдвар авсан систем дээр дараалалтайдаалгавар үүсгэдэг бөгөөд энэ нь хэрэглэгч нэвтрэх бүрт хортой програмыг ажиллуулдаг. Дараа нь хортой программ хангамж нь "Process Hollowing" аргыг ашиглан олборлогчийг хэрэглэгчийн суулгасан интернет хөтөч рүү нэвтрүүлж, програмчлагдсан жагсаалтаас санамсаргүй олборлолтын санг сонгуулна. Үүний дараа гэмтсэн компьютер дээр криптовалют олборлох үйл явц эхэлдэг.
Довтолгооны гинжин хэлхээний эцсийн алхам бол халдварын жетон илрүүлэх эсвэл болзошгүй буултын талаар сэрэмжлүүлэг хүлээн авах боломжийг багасгахын тулд системээс гарч буй бүх урсгалыг блоклодог “Windows Firewall” дээрх дүрмийг бий болгох явдал юм.
Орчин үеийн хортой програмын нөлөө нь DDoS халдлага, серверийн гүйцэтгэлийн доройтол, компьютерийн хэт халалтаас хамааралтай байгааг “Morphisec” анхааруулж байна. Эцсийн эцэст, халдагчид сүлжээнд байр сууриа олж авсны дараа тэд юу ч хийж чадна.
“ProxyShellMiner”-ийн халдварын эрсдлийг бууруулахын тулд “Morphisec” бүх администраторуудад аюулгүй байдлын шинэчлэлтүүдийг ашиглаж, аюулыг илрүүлэх, арилгахын тулд иж бүрэн програм хангамжийн шийдлүүдийг ашиглахыг зөвлөж байна.