Эксплойты Microsoft Exchange ProxyShell, используемые для развертывания вымогателя Babuk

50
Серверы Microsoft Exchange взломаны для развертывания вымогательского ПО Hive

Новый злоумышленник взламывает серверы Microsoft Exchange и взламывает корпоративные сети, используя уязвимость ProxyShell для развертывания программы-вымогателя Babuk.

Атаки ProxyShell на уязвимые серверы Microsoft Exchange начались несколько месяцев назад, и LockFile и Conti были среди первых групп программ-вымогателей, которые их использовали.

Согласно отчету исследователей Cisco Talos , дочерняя компания Babuk , занимающаяся вымогательством, известная как Tortilla, присоединилась к клубу в октябре, когда актер начал использовать веб-оболочку China Chopper на взломанных серверах Exchange.

Название Tortilla основано на вредоносных исполняемых файлах, обнаруженных в кампаниях с использованием имени Tortilla.exe.

Начинается с Exchange

Атака программы-вымогателя Babuk начинается с того, что исполняемый файл DLL или .NET падает на сервер Exchange с помощью уязвимости ProxyShell.

Затем рабочий процесс Exchange IIS w3wp.exe выполняет эту вредоносную полезную нагрузку для выполнения обфусцированной команды PowerShell, которая включает обход защиты конечных точек, в конечном итоге вызывая веб-запрос для загрузки загрузчика полезной нагрузки с именем tortilla.exe.

Этот загрузчик подключится к «pastebin.pl» и загрузит полезную нагрузку, которая загружается в память и вводится в процесс NET Framework, который в конечном итоге шифрует устройство с помощью программы-вымогателя Babuk.

Хотя аналитики Cisco обнаружили доказательства  использования уязвимости ProxyShell  в большинстве случаев заражения, в первую очередь в веб-оболочке China Chopper, данные телеметрии отражают широкий спектр попыток использования уязвимостей.

В частности, Тортилья пошла по этим путям, чтобы отказаться от модулей DLL и .NET:

  • Попытка подделки запроса на стороне сервера с автоматическим обнаружением Microsoft Exchange
  • Попытка удаленного выполнения кода Atlassian Confluence OGNL-инъекция
  • Попытка удаленного выполнения кода Apache Struts
  • Доступ к WordPress wp-config.php через попытку обхода каталога
  • Попытка обхода аутентификации SolarWinds Orion
  • Попытка удаленного выполнения команды Oracle WebLogic Server
  • Попытка десериализации произвольного Java-объекта Liferay

Поскольку в основе этих атак лежат исправленные уязвимости, всем администраторам настоятельно рекомендуется обновить свои серверы до последних версий, чтобы предотвратить их использование в атаках.

Использование Бабука в новых атаках

Babuk Locker — это программа-вымогатель, запущенная в начале 2021 года, когда она начала нацеливаться на предприятия и шифровать их данные с помощью атак с двойным вымогательством.

После нападения на Управление столичной полиции Вашингтона, округ Колумбия , и почувствовав накал со стороны правоохранительных органов США, банда вымогателей прекратила свою деятельность.

После того, как исходный код первой версии Babuk и сборщика просочился на хакерские форумы , другие злоумышленники начали использовать программу-вымогатель для запуска собственных атак.

Неясно, была ли Tortilla дочерней компанией Babuk в то время, когда RaaS был активен, или они просто захватили исходный код штамма, когда он вышел, для проведения новых атак.

Однако, поскольку в записке о выкупе, использованной в этих атаках, запрашивается небольшая сумма в 10 000 долларов в Monero, она, вероятно, не была проведена первоначальной операцией Бабука, которая требовала гораздо более крупных программ-вымогателей в биткойнах.

Ориентация на США

Хотя исследователи Talos заметили некоторые атаки в Германии, Таиланде, Бразилии и Великобритании, большинство целей Tortilla находятся в США.

IP-адрес сервера загрузки находится в Москве, Россия, что может указывать на происхождение этих атак, но в отчете нет выводов об атрибуции.

Кроме того, домен pastebin.pl, используемый на этапе распаковки, ранее использовался в кампаниях распространения AgentTesla и FormBook.

Хотя ранее для программы-вымогателя Babuk был выпущен дешифратор, он может расшифровать только тех жертв, чьи закрытые ключи были частью утечки исходного кода.

Следовательно, злоумышленники могут продолжать использовать штамм вымогателя Babuk для запуска своих собственных операций, таких как то, что мы наблюдаем с злоумышленником Tortilla.

Последнее обновление 11 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии