Dopo i ransomware DearCry e Black Kingdom, è in corso una nuova e insolita campagna malevola che sta prendendo di mira i server Microsoft Exchange on-premise non aggiornati: sfruttando la vulnerabilità ProxyLogon, i cyber criminali stanno distribuendo un malware per minare criptovalute Monero sfruttando i sistemi compromessi.
Secondo i ricercatori di Sophos che hanno identificato le attività dei threat actor ancora sconosciuti, il miner di criptovalute ha iniziato a ricevere fondi già dallo scorso 9 marzo, anche se l’attività di cryptomining ha subito un rallentamento in seguito alla massiccia campagna di aggiornamento dei server Exchange avviata da Microsoft.
Indice degli argomenti
I dettagli del nuovo malware per Exchange
Dall’analisi dei campioni di malware isolati, i ricercatori sono riusciti a stabilire che l’attacco inizia con un tentativo di consegna del payload su un server Exchange compromesso.
In particolare, i cyber criminali inviano un comando PowerShell per recuperare il file win_r.zip da un altro percorso di accesso a Outlook Web Access del server compromesso (/owa/auth).
In realtà, il file .zip non è un archivio compresso, ma uno script batch che richiama l’esecuzione del programma certutil.exe integrato in Windows per scaricare altri due file aggiuntivi: win_s.zip e win_d.zip.
Il ricorso all’utility di sistema certutil è un escamotage dei cyber criminali per eludere eventuali controlli di sicurezza.
I due file aggiuntivi, invece, nascondono in realtà il componente miner QuickCPU.exe (mascherata come “win_s.zip”), che altro non è se non il payload eseguibile in base64 codificato e può essere decodificato dall’applicazione certutil, e il file di configurazione QuickCPU.dat (mascherato come “win_d.zip”).
Entrambi i file, EXE e DAT, vengono quindi iniettati all’interno di un processo legittimo in esecuzione sul server in modo da nasconderli ai radar del sistema, dopodiché viene eliminata ogni traccia riferibile al malware.
I ricercatori hanno scoperto che l’eseguibile impiegato nell’attacco contiene una versione modificata dello strumento PEx64-Injector pubblicamente disponibile su GitHub. Il suo compito è quello di migrare un eseguibile x64 all’interno di qualsiasi processo x64 in esecuzione senza richiedere privilegi di amministratore.
Dall’analisi del malware, inoltre, risulta che il payload imposta il miner in modo che possa comunicare solo attraverso una connessione TLS sicura verso il portafoglio Monero dove memorizzerà il suo valore. Nel caso in cui lo stesso miner dovesse rilevare una mancata corrispondenza del certificato, chiude la connessione e tenta di riconnettersi ogni 30 secondi.
Come mitigare i rischi
Viste le tecniche di infezione e diffusione del nuovo malware che sta prendendo di mira i server Exchange non aggiornati, risulta al momento difficile identificare la minaccia.
La prima raccomandazione per tutte le aziende che utilizzano i server Exchange è ovviamente quella di procedere con tempestività all’installazione degli aggiornamenti disponibili (gli ultimi disponibili anche con il Patch Tuesday di aprile).
Qualora non fosse possibile procedere con l’aggiornamento dei server, è possibile applicare le misure di mitigazione temporanee consigliate dal CSIRT Italia.
Lo stesso Computer Security Incident Response Team italiano, inoltre, ha pubblicato gli indicatori di compromissione (IoC) del malware: i sistemisti possono dunque valutare di implementarli sui propri apparati di sicurezza
