Angreifer nutzen Exchange-Schwachstelle für Kryptominer

Sophos News

Beitrag teilen

Sophos Labs hat einen Angreifer ausgemacht, der eine Exchange-Schwachstelle für Kryptomining nutzt: “Admins sollten den Exchange Server auf Web-Shells scannen und Server auf ungewöhnliche Prozesse überwachen, die scheinbar aus dem Nichts auftauchen. Eine hohe Prozessorauslastung durch ein unbekanntes Programm könnte ein Zeichen für Krypto-Mining-Aktivitäten oder Ransomware sein,“ sagt Andrew Brandt, Principal Threat Researcher bei Sophos.

Die bekannten, jüngsten Probleme rund um die Microsoft Exchange Server-Schwachstellen sind wohl noch lange nicht endgültig vom Tisch: Auch nach den Sicherheits-Patches vom 2. und 9. März nutzen immer neue Angreifer den Exploit für ihre Attacken aus. SophosLabs hat nun einen unbekannten Angreifer ausfindig gemacht, der die „ProxyLogon“-Schwachstelle nutzt, um einen Kryptominer zu installieren, der die noch nicht gepatchten Server angreift. Der „Schürfer“ gehört zur Familie des legitimen Open-Source-Monero-Miners xmr-stak. Andrew Brandt, Principal Threat Researcher bei Sophos, verrät weitere Details der Kryptominer-Attacke.

Mining floss in Monero-Wallets

„Unsere Analyse dieser Kampagne zeigt, dass am 9. März Mining-Werte in die Monero-Wallets der Angreifer flossen und die Attacke danach schnell an Umfang verlor. Dies deutet darauf hin, dass wir es hier mit einem weiteren schnell zusammengestellten, opportunistischen und möglicherweise experimentellen Angriff zu tun haben, der versucht, etwas leichtes Geld abzugreifen, bevor ein weitverbreitetes Patching stattfindet. Unternehmen sollten nicht nur ihre Server umgehend patchen, sondern diese auch weiterhin aufmerksam überwachen.

Für die meisten Opfer ist das erste Anzeichen einer Kompromittierung wahrscheinlich ein signifikanter Abfall der Verarbeitungsleistung. Server, die nicht gepatcht sind, können bereits seit einiger Zeit kompromittiert sein, bevor dies deutlich wird. Admins sollten den Exchange Server auf Web-Shells scannen und Server auf ungewöhnliche Prozesse überwachen, die scheinbar aus dem Nichts auftauchen. Eine hohe Prozessorauslastung durch ein unbekanntes Programm könnte ein Zeichen für Krypto-Mining-Aktivitäten oder Ransomware sein.“

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

EU-Diplomaten: Einladung zur Weinprobe mit Malware im Gepäck 

Eine kürzlich identifizierte Cyber-Spionagekampagne zeigt, wie hochspezialisierte Angreifer staatliche Einrichtungen und Diplomaten ins Visier nehmen. Diese Bedrohungsakteure nutzten gefälschte Einladungen ➡ Weiterlesen

Report: 40 Prozent mehr Phishing weltweit

Der aktuelle Spam- und Phishing-Report von Kaspersky für das Jahr 2023 spricht eine eindeutige Sprache: Nutzer in Deutschland sind nach ➡ Weiterlesen

BSI legt Mindeststandard für Webbrowser fest

Das BSI hat den Mindeststandard für Webbrowser für die Verwaltung überarbeitet und in der Version 3.0 veröffentlicht. Daran können sich ➡ Weiterlesen

Tarnkappen-Malware zielt auf europäische Unternehmen

Hacker greifen mit Tarnkappen-Malware viele Unternehmen in ganz Europa an. ESET Forscher haben einen dramatischen Anstieg von sogenannten AceCryptor-Angriffen via ➡ Weiterlesen

IT-Security: Grundlage für LockBit 4.0 entschärft

in Zusammenarbeit mit der britischen National Crime Agency (NCA) analysierte Trend Micro die in der Entwicklung befindliche und unveröffentlichte Version ➡ Weiterlesen

MDR und XDR via Google Workspace

Ob im Cafe, Flughafen-Terminal oder im Homeoffice – Mitarbeitende arbeiten an vielen Orten. Diese Entwicklung bringt aber auch Herausforderungen mit ➡ Weiterlesen

Test: Security-Software für Endpoints und Einzel-PCs

Die letzten Testergebnisse aus dem Labor von AV-TEST zeigen eine sehr gute Leistung von 16 etablierten Schutzlösungen für Windows an ➡ Weiterlesen

FBI: Internet Crime Report zählt 12,5 Milliarden Dollar Schaden 

Das Internet Crime Complaint Center (IC3) des FBI hat seinen Internet Crime Report 2023 veröffentlicht, der Informationen aus über 880.000 ➡ Weiterlesen