‘ProxyShellMiner’ adlı yeni zararlı, Microsoft Exchange ProxyShell güvenlik açıklarından yararlanarak sistemlere sızıp ortamdaki sistemleri kripto para madenciliği için kullandığı tespit edildi.
Saldırganlar sistemlere sızmak için CVE-2021-34473 ve CVE-2021-34523 olarak izlenen ProxyShell açıklarından yararlanıyor ardından NETLOGON klasörüne manipüle edilmiş .NET payloadları dağıtıyor.
Zararlı sonrasında kod bloklarını çalıştırmak için C# derleyicisi CSC.exe kullanıyor. Bir sonraki aşamada kötü amaçlı yazılım “DC_DLL” adlı bir dosyayı indiriyor ve görev zamanlayıcı ile XML ve XMRig dosyalarını çıkarmak için sahte .NET dosyasını kullanmaya başlıyor. Bu DLL dosyası ek dosyaların şifresini çözmek için kullanılıyor. İkinci bir indirici, kullanıcının oturum açmasıyla çalışacak şekilde yapılandırılmış durumda ve zamanlanmış bir görev oluşturarak sistemde kalıcı olmasını sağlıyor. Son olarak bu indirici diğer dört dosyayı sisteme indiriyor.
Bu dosya, tarayıcıların, “process hollowing” olarak bilinen bir teknik kullanarak kripto zararlısının bellek alanına enjekte etmek için kullanılacağına karar veriyor. Bundan sonra bir listeden rastgele bir madencilik havuzu seçiyor ve madencilik faaliyetlerine başlıyor.
Saldırı zincirindeki son adımı olarak tüm Windows Güvenlik Duvarı profilleri için geçerli olan, tüm giden trafiği engelleyen bir güvenlik duvarı kuralı oluşturuyor.
Zararlı yazılımın, hizmet kesintilerine, sunucu performansının düşmesine ve bilgisayarların aşırı ısınmasına neden oluyor. Bu saldırılardan etkilenmemek yada saldırların etkilerini azaltmak için güncellemelerin ve diğer önlemlerin alınması büyük önem taşıyor.
Kaynak: bleepingcomputer.com
