Microsoft Exchange ProxyShell برای استقرار باج افزار Babuk استفاده می شود.

photo 2021 11 04 20 09 32


حمله جدیدی سرورهای Microsoft Exchange را تهدید می‌کند، مهاجمان با استفاده از آسیب‌پذیری ProxyShell برای استقرار باج‌افزار Babuk به شبکه ها، نفوذ می‌کنند.
حملات ProxyShell علیه سرورهای آسیب پذیر Microsoft Exchange چند ماه پیش آغاز شد که LockFile و Conti جزو اولین گروه های باج افزاری بودند که توسط این آسیب پذیری منتشر شدند.

شروع با Exchange


حمله باج افزار Babuk با یک فایل اجرایی DLL یا NET شروع می شود که با استفاده از آسیب پذیری ProxyShell روی سرور Exchange اجرا می شود.

microsoft ax1

محققان شواهدی مبنی بر بهره برداری از آسیب پذیری ProxyShell در اکثر تهاجم ها پیدا کردند و داده ها طیف وسیعی از سوء استفاده ها را نشان می دهد.


به طور جزئی تر، Tortilla این مسیرها را برای حذف ماژول های DLL و NET. دنبال می کند:


• جعل درخواست پیدا کردن سرور Microsoft Exchange
• اجرای کد از راه دور Atlassian Confluence OGNL
• اجرای کد از راه دور Apache Struts
• دسترسی به وردپرس wp-config.php از طریق دایرکتوری
• دور زدن احراز هویت SolarWinds Orion
• اجرای فرمان از راه دور Oracle WebLogic Server
• جداسازی فایل های جاوا Liferay

از آنجایی که این حملات به آسیب‌پذیری‌های وصله ‌نشده متکی هستند، اکیداً توصیه می‌شود که همه مدیران سرورهای خود را به آخرین نسخه‌ها ارتقا دهند تا از سوء استفاده در حملات جلوگیری کنند.

استفاده از باج افزارBabuk در حملات جدید


Babuk Locker یک عملیات باج افزاری است که در ابتدای سال 2021 و زمانی که شروع به هدف قرار دادن مشاغل و رمزگذاری داده های آنها در حملات اخاذی مضاعف کرد، راه اندازی شد.
پس از انجام حمله به برخی مراکز حساس، این باج افزار عملیات خود را متوقف کرد.
پس از فاش شدن کد منبع اولین نسخه Babuk و سازنده آن، سایر عوامل تهدید شروع به استفاده از باج‌افزار برای انجام حملات خود کردند.

microsoft ax2هدف قرار دادن آمریکا


اگرچه محققان متوجه حملاتی در آلمان، تایلند، برزیل و بریتانیا شدند، اما بیشتر اهداف Tortilla، مستقر در ایالات متحده است.
I.P. آدرس سرور دانلود در مسکو، روسیه قرار دارد که می‌تواند منشا این حملات را نشان دهد، اما هیچ نتیجه‌گیری در گزارش وجود ندارد.

microsoft ax3

در حالی که قبلاً یک رمزگشا برای باج‌افزار Babuk منتشر شده بود، تنها می‌تواند قربانیانی را رمزگشایی کند که کلیدهای خصوصی آنها بخشی از نشت کد منبع باشد.
بنابراین، مجریان تهدید می‌توانند به استفاده از باج‌افزار Babuk برای تهاجم، مانند آنچه در مورد تهاجمTortilla می‌بینیم، ادامه دهند.

 با ما تماس بگیرید:
021-88873951
031-36691964
www.panaco.ir
آرامش در پناه امنیت

 

منبع:
https://www.bleepingcomputer.com

افزودن دیدگاه جدید

نظر خودتان را ارسال کنید

کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفا وارد سایت شوید.

طراحی سایت طراحی سایت طراحی سایت طراحی سایت

کلیه حقوق این سایت محفوظ و متعلق به شرکت مهندسی تحقیق و توسعه ارتباط پانا می باشد.

گفتگوی آنلاین