Geçtiğimiz ay Microsoft Exchange’e dair yeni bir güvenlik açığının ortaya çıkarılmasına ve ilgili güvenlik yamalarının yayınlanmasına rağmen, siber korsanlar savunmasız sistemlere yönelik saldırılarını sürdürüyor. Daha önce söz konusu açığı kullanan DearCry ve Black Kingdom fidye yazılımı saldırılarına dikkat çeken Sophos, bu kez aynı açığı kullanan kripto madencilik odaklı yeni bir istismarı ortaya çıkardı. Detaylar “Compromised Exchange Server Hosts Crypto-jacker To Target Other Exchange Servers” başlıklı araştırmada yayınlandı.
Xmr-stak adlı açık kaynaklı Monero madencisini temel alan ve operatörlerin “QuickCPU” olarak isimlendirdiği bu yeni saldırı, ProxyLogon açığını kapatmak için gerekli yamaların uygulanmadığı savunmasız Exchange sunucularını saldırganlar adına kripto madenciliğe zorluyor. Bu ismin işlemci optimizasyonunda kullanılan yaygın bir açık kaynaklı uygulama olan “Quick CPU” ile karıştırılarak gözden kaçmak için özellikle seçildiği düşünülüyor.
Sophos Tehdit Araştırmacısı Andrew Brandt, ProxyLogon Exchange güvenlik açığından yararlanmada elini en çabuk tutan grubun kripto madenciler olduğuna dikkat çekiyor. Öyle ki söz konusu açıklar ortaya çıkarıldıktan sonra saatler içinde korsan madenciler ilk yüklerini savunmasız sunuculara yerleştirmeye başlamışlar. Brandt, “Kampanyaya dair yaptığımız analizler 9 Mart’ta saldırganların Monero cüzdanlarına doğru bir akış olduğunu, ardından saldırının boyutunun hızla küçüldüğünü gösteriyor. Bu da söz konusu yamaların geniş çapta uygulanmasının öncesinde deneysel ve fırsatçı bir saldırıyla karşı karşıya olduğumuzu düşündürüyor” diyor.
Bu saldırıyı olağandışı kılan şey, operatörlerin kripto madencilik yüklerini enfekte Exchange sunucusuna yüklemeleri ve bunu diğer sunuculara yaymak için bir platform olarak kullanmaları. Brandt, saldırganların kötü amaçlı madenciyi güvenlik denetimlerinden saklamak için belleğe yüklediklerini, kullanımdan sonra kurulum ve yapılandırma dosyalarını sildiklerini, Monero cüzdanlarıyla iletişim kurmak için Transfer Layer Security trafik şifrelemesini kullanarak tespitten kaçtıklarını söylüyor. Saldırının en belirgin etkisi, saldırıya uğrayan sunucunun işlem gücünün ve performansının önemli ölçüde düşmesi oluyor.
Brandt, bu durumu önlemek için ilk yapılması gereken şeyin Microsoft’un yayınladığı yamaları bir an önce kurmak olduğunu söylüyor. “Ancak yamaları uygulamak tek başına yeterli değil” diyor Brandt. “Kurumların daha sonraki saldırılara karşı savunmasız kalmaması için güvenlik hattını daha geniş bir şekilde tespit etmesi ve ele alması gerekiyor. Örneğin yöneticiler Exchange sunucusunda web kabuklarını taramalı, daha önce görünmeyen olağandışı işlemlere karşı sunucuları izlemeye almalılar. Tanıdık olmayan bir programın yüksek oranda işlemci kullanması, kripto madencilik faaliyetine veya fidye yazılımı aktivitesine işaret ediyor olabilir. Bu mümkün değilse, Exchange verilerini güncellenmiş bir sunucuya taşıyana kadar sunucuyu yakından izleyin ve ardından yamalanmamış sunucunun internet bağlantısını kesin.”
Sophos Intercept X ve Sophos Intercept X with EDR, Exchange güvenlik açıklarını istismar eden tehditlere karşı etkin koruma sağlıyor.