Cybersäkerhetsforskare har upptäckt en ny skadlig kampanj som försöker utnyttja redan korrigerade ProxyShell-sårbarheter i Microsoft Exchange-e-postservrar, såsom Windows PetitPotam-sårbarheten, vilket återigen lyfter fram relevansen av att korrigera sårbarheter i kritiska komponenter. Den nya kampanjen i hopp om att hitta oparpade ömtåliga värdar för att bädda in en variant av Babuk ransomware upptäcktes av forskare från Cisco Talos Threat Intelligence Suite med hjälp av telemetri från Cisco Secure-produkten. "Vi betygsätter det med måttlig tillförsikt att den initiala infektionsvektorn är exploatering av ProxyShell-sårbarheter i Microsoft Exchange Server genom utplaceringen av China Chopper-webbskalet", delar forskarna. Enligt forskare hittar kampanjen främst ömtåliga servrar i USA, med ett mindre antal infektioner som även förekommer i Storbritannien, Tyskland, Ukraina, Finland, Brasilien, Honduras och Thailand.
Ovanlig infektionskedja
Forskare påpekar att hotaktören bakom denna kampanj, ibland kallad Tortilla, använder en något ovanlig infektionskedja. Den använder först en mellanliggande unboxningsmodul som finns på en pastebin.com-klon som heter pastebin.pl. Detta mellanliggande uppackningssteg laddas först ner till minnet redan innan den slutliga nyttolasten körs. Under granskningen av attacken noterar forskare att nedladdaren kör ett dolt PowerShell-kommando för att ansluta till och hämta en annan modul av skådespelarens infrastruktur, som verkar vara värd i Ryssland. PowerShell-kommandot utför också en AMSI-bypass (Anti-Malware Scanner Interface) för att kringgå ändpunktsskydd, innan det slutligen införlivar Babuk ransomware. "Läckan av Babuk-leverantören och dess källkod i juli har bidragit till dess utbredda tillgänglighet, även för mindre erfarna ransomware-operatörer som Tortilla", avslutar forskarna och ber användarna att bädda in defensiv säkerhet. i tidiga skeden. Var uppmärksam på dina datorer med hjälp av de bästa verktygen för slutpunktsskydd och se till att du använder dessa bästa säkerhetskopieringsprogram för att återställa dina data.