思科在今年10月中發現,有駭客組織針對尚未修補ProxyShell漏洞的Exchange伺服器,發動勒索軟體攻擊
文/林妍溱 | 2021-11-04發表
還記得ProxyShell漏洞嗎?貴公司補了漏洞沒?思科安全研究人員警告,又有一個駭客組織正在鎖定未修補ProxyShell漏洞的Exchange Server散布勒索軟體Babuk。
ProxyShell實際上是3個Exchange Server漏洞總稱,包括CVE-2021-34473與CVE-2021-34523,以及CVE-2021-31207,分屬遠端程式攻擊漏洞、權限擴張漏洞與安全功能繞過漏洞,影響Microsoft Exchange Server 2013、2016與2019。微軟已在今年4、5月修補。
不過思科旗下Talos實驗室研究人員於今年10月中,仍發現了ProxyShell惡意開採活動,他們研判是一個名為Tortilla的駭客組織所為,這個組織從今年7月開始活動。在這波攻擊中,他們鎖定未修補漏洞的Exchange Server植入Babuk勒索軟體。受害者以美國企業為主,其他感染地區還包括英國、德國、烏克蘭、芬蘭、巴西、泰國及宏都拉斯。
圖片來源_思科
這次攻擊行動較特殊的是駭客使用了多階段的惡意程式下載。研究人員在受害Exchange Server中,發現DLL及.NET執行檔下載器,DLL下載器是以IIS work process合法程式,從惡意網域下載第2階段的封裝下載器。這個封裝下載器為一加密檔案,它有2個作用,一是躲避端點安全產品偵測,二是再連到pastebin.com的clone網站 pastebin.pl,以下載並解密最後的Babuk勒索軟體。
研究人員相信,Tortilla是利用Exchange Server的Proxyshell漏洞內植入China Chopper webshell,並以此啟動整個下載過程。
一旦Babuk下載並在受害者Exchange Server執行後,即會關閉備份產品或服務如Veeam的行程,刪除陰影複製服務VSS螢幕擷圖,然後加密系統內的檔案,加密後的檔案皆有.babyk的副檔名。受害者會被勒索1萬美元以交換解密金鑰。
研究人員也提醒企業IT人員架構多層次安全,並使用行為分析產品來偵測威脅,保護端點及Exchange Server伺服器。
圖文來源:iThome https://www.ithome.com.tw/news/147653
