IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

گسترش باج‌افزار Babuk با سواستفاده از آسیب‌پذیری ProxyShell توسط گروه Tortilla

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir tortilla gang abusing proxyshell vulnerabilities to spread babuk 1
محققان یک کمپین باج‌افزار Babuk را شناسایی کرده‌اند که از آسیب‌پذیری‌های ProxyShell در سرور‌های Exchange سواستفاده می‌کند. کارشناسان خاطرنشان کردند که این آسیب‌پذیری‌ها توسط عوامل تهدید با نام Tortilla مورد سواستفاده قرار می‌گیرند.

توضیحات حملات
از ماه اکتبر، گروه Tortilla با استفاده از وب shell متعلق به China Chopper از آسیب‌پذیری‌های سرور Exchange Proxyshell سواستفاده می‌کند.
در حالی که بیشتر اهداف در ایالات متحده مستقر هستند، این حمله همچنین علیه سازمان‌های مستقر در آلمان، برزیل، تایلند و بریتانیا انجام پذیرفته است.
این باند برای رمزگشایی اسناد رمزگذاری شده در Monero حدود ۱۰۰۰۰ دلار باج مطالبه کرده‌اند.

توضیحاتی در مورد Proxyshell
طبق گزارشات، ProxyShell به مجموعه‌ای از سه آسیب‌پذیری اشاره دارد که در ماه آگوست در سرور‌های Microsoft Exchange شناسایی شدند.
نقص‌های مورد سواستفاده با عناوین CVE-2021-34523، CVE-2021-31207، و CVE-2021-34473 معرفی و شناسایی می‌شوند.
این آسیب‌پذیری‌ها به یک مهاجم ناشناس اجازه می‌دهد تا با استفاده از باگ‌ها، اقدام به اجرای کد دلخواه کند.

زنجیره حمله پیچیده
حمله با استفاده از یک ماژول دانلودر بر روی سرور قربانیان به عنوان یک فرمت اجرایی مستقل و یک DLL آغاز می‌شود. دانلودر DLL توسط فرآیند Exchange IIS worker اجرا می‌شود.
مهاجمان از یک اکسپلویت اصلاح شده EfsPotato برای هدف قرار دادن نقص در Proxyshell و PetitPotam استفاده کرده‌اند. سپس یک فرمان PowerShell را اجرا می‌نماید که یک ماژول دانلودر پک شده را دانلود می‌کند.
علاوه بر این، فرمان PowerShell یک بای پس AMSI را اجرا می‌کند تا از حفاظت نقطه پایانی جلوگیری کند. سپس لودر به «pastebin[.]pl» متصل می‌شود تا یک ماژول unpacker را دانلود کند.
ماژول unpacker در نهایت payload باج‌افزار Babuk را در داخل حافظه مستقر می‌کند و آن را به فرآیند NET Framework تازه ایجاد شده (AddInProcess32) تزریق می‌کند.

نتیجه گیری
باج‌افزار Babuk به طور فعال در حال گسترش به مناطق جغرافیایی جدید و مختلف است و در کمپین‌های مخرب توسط گروه‌های تهدید‌کننده جدید مانند Tortilla استفاده می‌شود که نشان دهنده افزایش محبوبیت و پذیرش این بدافزار است. علاوه بر این، ممکن است در آینده حملات بیشتری در مورد بابوک وجود داشته و دیده شود. بنابراین، سازمان‌ها باید همیشه با اتخاذ اقدامات امنیتی کافی، برای مقابله حملات باج‌افزار آماده باشند.

برچسب ها: AddInProcess32, NET Framework, unpacker, EfsPotato, Exchange IIS worker, Exchange Proxyshell, China Chopper, Tortilla, باج‌افزار, ProxyShell, PetitPotam, سرور, Payload, Shell, DLL, Babuk, Microsoft Exchange, Exchange, cybersecurity, Monero, malware, باج افزار, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ ایمیل