Ciberdelincuentes están explotando las fallas de ProxyLogon Microsoft Exchange Server para captart máquinas vulnerables a una botnet de criptomonedas llamada Prometei, la cual abarca sectores de finanzas, seguros, comercio minorista, fabricación, servicios públicos, viajes y construcción, comprometiendo redes de entidades ubicadas en los EE. UU., Reino Unido y varios países de Europa, América del Sur y Asia Oriental.
Ciberdelincuentes están explotando las fallas de ProxyLogon Microsoft Exchange Server para captart máquinas vulnerables a una botnet de criptomonedas llamada Prometei, la cual abarca sectores de finanzas, seguros, comercio minorista, fabricación, servicios públicos, viajes y construcción, comprometiendo redes de entidades ubicadas en los EE. UU., Reino Unido y varios países de Europa, América del Sur y Asia Oriental.
SERVICIOS AFECTADOS:
• Sistemas operativos Linux y Windows
DETALLES TÉCNICOS:
CVE: CVE-2021-27065 y CVE-2021-26858
Severidad: ALTA
Prometei explota las vulnerabilidades de Microsoft Exchange recientemente divulgados asociados a los ataques de hafnio para vulnerar la red para la implementación de software malicioso, la recolección de credenciales y más.
Descubierto por primera vez en julio de 2020, Prometei es una botnet multimodular, con el actor detrás de la operación que emplea una amplia gama de herramientas especialmente diseñadas y exploits conocidos como EternalBlue y BlueKeep para recolectar credenciales, propagarse lateralmente a través de la red y aumentar la cantidad de sistemas que participan en el grupo de criptominería.
Prometei tiene versiones basadas en Windows y Linux-Unix, y ajusta su payload según el sistema operativo detectado en las máquinas infectadas objetivo cuando se propaga a través de la red y está construido para interactuar con cuatro servidores de comando y control (C2) diferentes, lo que fortalece la infraestructura de la botnet y mantiene las comunicaciones continuas, haciéndola más resistente a las caídas.
Las intrusiones aprovechan las vulnerabilidades recientemente parcheadas en los servidores Microsoft Exchange con el objetivo de vulnerar el poder de procesamiento de los sistemas Windows para minar Monero.
En la secuencia de ataque observada por la empresa, se descubrió que el adversario explotaba las fallas del servidor Exchange CVE-2021-27065 y CVE-2021-26858 como un vector de compromiso inicial para instalar el shell web de China Chopper y obtener acceso por la puerta trasera a la red. Con este acceso en su lugar, el actor de amenazas lanzó PowerShell para descargar el payload inicial de Prometei desde un servidor remoto.
Las versiones recientes del módulo bot vienen con capacidades de puerta trasera que admiten un amplio conjunto de comandos, incluido un módulo adicional llamado “Microsoft Exchange Defender” que se hace pasar por un producto legítimo de Microsoft, que probablemente se encarga de eliminar otros shells web competidores que puedan estar instalados. en la máquina para que Prometei tenga acceso a los recursos necesarios para extraer criptomonedas de manera eficiente.
Indicadores de Compromiso
Hash
- Md5:ed3532ffbcfd91585568635eb6d4a655
- Sha256:417248cd0bf1da8a31c001454d34f3d9a58a7adbc8b5efe287cb0e7d51dd57fc
- Md5:ed3532ffbcfd91585568635eb6d4a655
- Sha256:417248cd0bf1da8a31c001454d34f3d9a58a7adbc8b5efe287cb0e7d51dd57fc
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.
** Es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de los servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
¡Compártelo con tus amigos con el botón al final de la página!
Si te ha gustado ¡Vamos! SUSCRÍBETE a continuación:
android Apple Ataques Malware ciberdelincuencia CiberSeguridad Desarrollo Diversion Eventos Facebook Google Hacking Hardware Innovacion Inteligencia Artificial inter Internet Iphone Legal linux Mac Malware Microsoft Movil Multimedia-TV-IOT Móvil Móviles Navegadores Novedades nube Programacion Ransoware Redes informáticas Redes Sociales Seguridad Seguridad en Internet Seguridad Movil Sistemas Operativos Tecnologia Tips Tips Móvil Uso de Smartphone utiles vulnerabilidades Window Windows
TECHNOLOGICAL INNOVATION & COMPUTER SECURITY SERVICES - TICSS 