又有新惡意程式利用ProxyShell漏洞散布

2021年揭露的Exchange Server的ProxyShell漏洞，貴公司是否已經補好？安全廠商Morphisec研究人員又發現新惡意程式ProxyShellMiner企圖濫用這漏洞，在受害者系統上植入挖礦軟體。

ProxyShell是指2021年4、5月微軟修補的三項漏洞，包括CVE-2021-34473與CVE-2021-34523及CVE-2021-31207，曾經遭多個駭客組織先後濫用。Morphisec近日發現到的ProxyShellMiner則是濫用Exchange Server的前二項漏洞。在駭入企業網路後，再於Windows電腦上植入挖礦程式。

攻擊路徑方面，攻擊者先以ProxShell漏洞存取Exchange Server，取得其控制權，然後再存取網域控制器的NetLogon資料匣。NetLogon儲存網域控制器註冊的所有伺服器資源記錄，攻擊者用它來確保挖礦程式可在整個網域內執行。

在攻擊細節上，攻擊者經由ProxyShell漏洞從遠端伺服器下載ProxyShellMiner，它會下載載入程式（loader），以著名的RunPE程式進行行程掏空（process hollowing）手法，挑選某個瀏覽器植入XMrig挖礦程式。值得注意的是，它會建立一個防火牆規則，封鎖對外程式連線，以便防止觸發安全軟體偵測。研究人員猜測它之後再以未被偵測的後門連結外部C&C伺服器及礦池。

Morphisec研究人員偵測到攻擊者所用的4臺C&C伺服器，全都是被駭入的合法郵件伺服器，被攻擊者用來代管攻擊所需的檔案。

安全廠商說，攻擊者利用受害公司電腦挖礦，將導致系統效能下降、增加耗電、系統過熱，以及服務停擺。此外，一旦攻擊者以此作為攻擊基地，還可能植入後門程式或執行程式碼。

由於微軟早已釋出ProxyShell的修補程式，研究人員呼籲用戶應升級到最新版本，並部署威脅偵測及防護產品。