Un botnet mondial massif tire parti des vulnérabilités de Microsoft Exchange

Jeudi 22 avril 2021 à 15h30
Botnet

Les experts en sécurité ont découvert un botnet crypto-monnaie à grande échelle ciblant les vulnérabilités Microsoft Exchange associées aux récentes attaques Hafnium. Baponné Prometei, le botnet a été découvert par des chercheurs de l'équipe Cybereason Nocturnus.

Les acteurs de la menace derrière le botnet sont en train de jouer sur quatre vulnérabilités « jour zéro » dans le serveur de messagerie Microsoft Exchange, collectivement appelées vulnérabilités ProxyLogon, qui ont été exploitées pour la première fois par des acteurs de menaces sponsorisés par l'État chinois connus sous le nom de Hafnium.

Malgré divers efforts, y compris l'outil en un clic de Microsoft pour corriger les vulnérabilités et les actions du FBI pour supprimer les portes dérobées des serveurs piratés, les attaquants sentent toujours assez d'opportunités pour exploiter les vulnérabilités. En fait, la recherche de Cybereason met en lumière les victimes de diverses industries et de pays du monde entier.

« Le Botnet Prometei pose un grand risque pour les entreprises parce qu'il a été sous-signalé. Lorsque les attaquants prennent le contrôle des machines infectées, ils ne sont pas seulement capables d'extraire Bitcoin en volant la puissance de traitement, mais pourraient exfiltrer des informations sensibles ainsi, » a déclaré Assaf Dahan, Directeur principal et chef de la recherche sur les menaces, Cybereason.


La menace létale

Cybereason partage que Prometei a des versions pour les installations Windows et Linux, et il sélectionne la charge utile appropriée en fonction du système d'exploitation sur la machine ciblée.

Les acteurs de la menace, qui sont des locuteurs russes selon les recherches de Cybereason, utilisent le botnet pour installer le crypto-mineur Monero sur les terminaux de l'entreprise.

En plus des vulnérabilités Microsoft Exchange, ils utilisent également les exploits EternalBlue et BlueKeep pour se déplacer à travers les réseaux.

Dans sa panne du botnet Prometei, Lior Rochberger, chercheuse sur les menaces chez Cybereason, avertit que les acteurs de la menace peuvent également infecter les paramètres compromis avec d'autres logiciels malveillants et peut même vendre l'accès aux terminaux à des gangs de ransomware, ce qui en fait une menace assez meurtrière.