- Porównanie
- Ćwiczenia
- Serwery Microsoft Exchange są nadal celem cyberataków, więc napraw je teraz
Naukowcy zajmujący się cyberbezpieczeństwem odkryli nową złośliwą kampanię, która ma na celu wykorzystanie załatanej już luki ProxyShell w serwerach pocztowych Microsoft Exchange, takiej jak luka Windows PetitPotam, ponownie podkreślając znaczenie łatania luk w krytycznych komponentach. Nowa kampania mająca na celu zlokalizowanie niezałatanych wrażliwych hostów w celu osadzenia odmiany oprogramowania ransomware Babuk została odkryta przez badaczy z pakietu Cisco Talos Threat Intelligence Suite przy użyciu danych telemetrycznych z produktu Cisco Secure. „Oceniamy z umiarkowaną pewnością, że początkowym wektorem infekcji jest wykorzystanie luk w zabezpieczeniach ProxyShell w Microsoft Exchange Server poprzez wdrożenie powłoki sieciowej China Chopper” — dzielą się badacze. Zdaniem naukowców, celem kampanii są przede wszystkim wrażliwe serwery w Stanach Zjednoczonych, a mniejsza liczba infekcji występuje również w Wielkiej Brytanii, Niemczech, Ukrainie, Finlandii, Brazylii, Hondurasie i Tajlandii.
Niezwykły łańcuch infekcji
Naukowcy zwracają uwagę, że cyberprzestępca stojący za tą kampanią, czasami nazywany Tortilla, wykorzystuje nieco nietypowy łańcuch infekcji. Najpierw wykorzystuje pośredni moduł rozpakowywania hostowany na klonie pastebin.com o nazwie pastebin.pl. Ten pośredni etap rozpakowywania jest najpierw ładowany do pamięci jeszcze przed ostatecznym wykonaniem ładunku. Badając atak, badacze zauważają, że downloader uruchamia ukryte polecenie PowerShell, aby połączyć się i pobrać inny moduł infrastruktury aktora, który wydaje się być hostowany w Rosji. Polecenie PowerShell wykonuje również obejście interfejsu skanera anty-malware (AMSI), aby ominąć ochronę punktu końcowego, zanim ostatecznie włączy ransomware Babuk. „Wyciek dostawcy Babuk i jego kodu źródłowego w lipcu przyczynił się do jego powszechnej dostępności, nawet dla mniej doświadczonych operatorów oprogramowania ransomware, takich jak Tortilla”, podsumowują uczeni, prosząc użytkowników o wbudowanie zabezpieczeń obronnych. we wczesnych stadiach. Zachowaj czujność na swoich komputerach za pomocą najlepszych narzędzi do ochrony punktów końcowych i upewnij się, że używasz tego najlepszego oprogramowania do tworzenia kopii zapasowych w celu odzyskania danych.