还记得ProxyShell漏洞吗?贵公司补了漏洞没?思科安全研究人员警告,又有一个黑客组织正在锁定未修补ProxyShell漏洞的Exchange Server传播勒索软件Babuk。
ProxyShell实际上是3个Exchange Server漏洞总称,包括CVE-2021-34473与CVE-2021-34523,以及CVE-2021-31207,分属远程程序攻击漏洞、权限扩张漏洞与安全功能绕过漏洞,影响Microsoft Exchange Server 2013、2016与2019。微软已在今年4、5月修补。
不过思科旗下Talos实验室研究人员于今年10月中,仍发现了ProxyShell恶意开采活动,他们研判是一个名为Tortilla的黑客组织所为,这个组织从今年7月开始活动。在这波攻击中,他们锁定未修补漏洞的Exchange Server植入Babuk勒索软件。受害者以美国企业为主,其他感染地区还包括英国、德国、乌克兰、芬兰、巴西、泰国及洪都拉斯。
图片来源_思科
这次攻击行动较特殊的是黑客使用了多阶段的恶意程序下载。研究人员在受害Exchange Server中,发现DLL及.NET执行文件下载器,DLL下载器是以IIS work process合法程序,从恶意域名下载第2阶段的封装下载器。这个封装下载器为一加密文件,它有2个作用,一是躲避端点安全产品侦测,二是再连到pastebin.com的clone网站pastebin.pl,以下载并解密最后的Babuk勒索软件。
研究人员相信,Tortilla是利用Exchange Server的Proxyshell漏洞内植入Chopper webshell,并以此启动整个下载过程。
一旦Babuk下载并在受害者Exchange Server执行后,即会关闭备份产品或服务如Veeam的行程,删除阴影复制服务VSS屏幕截图,然后加密系统内的文件,加密后的文件皆有.babyk的文件扩展名。受害者会被勒索1万美元以交换解密密钥。
研究人员也提醒企业IT人员架构多层次安全,并使用行为分析产品来侦测威胁,保护端点及Exchange Server服务器。