پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

Microsoft Exchange ProxyShell برای استقرار باج افزار Babuk استفاده می شود.

تیتر مطالب

حمله جدیدی سرورهای Microsoft Exchange را تهدید می‌کند، مهاجمان با استفاده از آسیب‌پذیری ProxyShell برای استقرار باج‌افزار Babuk به شبکه ها، نفوذ می‌کنند.
حملات ProxyShell علیه سرورهای آسیب پذیر Microsoft Exchange چند ماه پیش آغاز شد که LockFile و Conti جزو اولین گروه های باج افزاری بودند که توسط این آسیب پذیری منتشر شدند.

شروع با Exchange

حمله باج افزار Babuk با یک فایل اجرایی DLL یا NET شروع می شود که با استفاده از آسیب پذیری ProxyShell روی سرور Exchange اجرا می شود.

microsoft ax1

محققان شواهدی مبنی بر بهره برداری از آسیب پذیری ProxyShell در اکثر تهاجم ها پیدا کردند و داده ها طیف وسیعی از سوء استفاده ها را نشان می دهد.

به طور جزئی تر، Tortilla این مسیرها را برای حذف ماژول های DLL و NET. دنبال می کند:

• جعل درخواست پیدا کردن سرور Microsoft Exchange
• اجرای کد از راه دور Atlassian Confluence OGNL
• اجرای کد از راه دور Apache Struts
• دسترسی به وردپرس wp-config.php از طریق دایرکتوری
• دور زدن احراز هویت SolarWinds Orion
• اجرای فرمان از راه دور Oracle WebLogic Server
• جداسازی فایل های جاوا Liferay

از آنجایی که این حملات به آسیب‌پذیری‌های وصله ‌نشده متکی هستند، اکیداً توصیه می‌شود که همه مدیران سرورهای خود را به آخرین نسخه‌ها ارتقا دهند تا از سوء استفاده در حملات جلوگیری کنند.

استفاده از باج افزارBabuk در حملات جدید

Babuk Locker یک عملیات باج افزاری است که در ابتدای سال 2021 و زمانی که شروع به هدف قرار دادن مشاغل و رمزگذاری داده های آنها در حملات اخاذی مضاعف کرد، راه اندازی شد.
پس از انجام حمله به برخی مراکز حساس، این باج افزار عملیات خود را متوقف کرد.
پس از فاش شدن کد منبع اولین نسخه Babuk و سازنده آن، سایر عوامل تهدید شروع به استفاده از باج‌افزار برای انجام حملات خود کردند.

microsoft ax2هدف قرار دادن آمریکا

اگرچه محققان متوجه حملاتی در آلمان، تایلند، برزیل و بریتانیا شدند، اما بیشتر اهداف Tortilla، مستقر در ایالات متحده است.
I.P. آدرس سرور دانلود در مسکو، روسیه قرار دارد که می‌تواند منشا این حملات را نشان دهد، اما هیچ نتیجه‌گیری در گزارش وجود ندارد.

microsoft ax3

در حالی که قبلاً یک رمزگشا برای باج‌افزار Babuk منتشر شده بود، تنها می‌تواند قربانیانی را رمزگشایی کند که کلیدهای خصوصی آنها بخشی از نشت کد منبع باشد.
بنابراین، مجریان تهدید می‌توانند به استفاده از باج‌افزار Babuk برای تهاجم، مانند آنچه در مورد تهاجمTortilla می‌بینیم، ادامه دهند.

 با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

 

منبع:
https://www.bleepingcomputer.com

شرکت فنی مهندسی ارتباط پانا

از سال ۱۳۸۴ به عنوان شرکتی پیشرو در زمینه “امنیت شبکه” فعالیت خود را آغاز کرد و با اخذ مجوزهای مربوطه و همچنین با بهره گیری از تیمی متخصص و حرفه ای در جایگاه یکی از معتبرترین فعالان این صنعت قرار گرفته است. 

دسترسی سریع

امنیت حرفه ای

عضویت در خبرنامه

شبکه اجتماعی