Keamanan cyber (terbuka di tab baru) peneliti telah menemukan kampanye jahat baru yang mencoba mengeksploitasi yang sudah diperbaiki Kerentanan ProxyShell (terbuka di tab baru) di Microsoft Exchange surel (terbuka di tab baru) server bersama-sama dengan Windows Kerentanan PetitPotam (terbuka di tab baru)sekali lagi menyoroti pentingnya menambal kerentanan dalam komponen penting.
Kampanye baru yang berharap menemukan host rentan yang belum ditambal untuk menyebarkan varian Babuk ransomware (terbuka di tab baru) digali oleh para peneliti di kelompok intelijen ancaman Cisco Talos dengan bantuan telemetri produk Cisco Secure.
“Kami menilai dengan keyakinan sedang bahwa vektor infeksi awal adalah eksploitasi kerentanan ProxyShell di Microsoft Exchange Server melalui penyebaran Helikopter Cina (terbuka di tab baru) kerangka web,” Bagikan (terbuka di tab baru) para peneliti.
Menurut para peneliti, kampanye tersebut sebagian besar menemukan server yang rentan di AS, dengan jumlah infeksi yang lebih kecil juga muncul di Inggris, Jerman, Ukraina, Finlandia, Brasil, Honduras, dan Thailand.
Rantai infeksi yang tidak biasa
Para peneliti mencatat bahwa pelaku ancaman di balik kampanye ini, terkadang disebut sebagai Tortilla, menggunakan rantai infeksi yang agak tidak biasa.
Ini pertama kali menggunakan modul pembongkaran menengah yang dihosting di a pastebin.com (terbuka di tab baru) klon bernama pastebin.pl. Tahap pembongkaran perantara ini pertama kali diunduh di memori sebelum muatan akhir dijalankan.
Menganalisis serangan tersebut, para peneliti mencatat bahwa pengunduh berjalan dengan tidak jelas PowerShell (terbuka di tab baru) perintah untuk menghubungkan dan mengambil modul lain dari infrastruktur aktor, yang tampaknya dihosting di Rusia.
Perintah PowerShell juga menjalankan Pintasan Antimalware Scan Interface (AMSI). (terbuka di tab baru) untuk mengelak perlindungan titik akhir (terbuka di tab baru)sebelum akhirnya menyebarkan ransomware Babuk.
“Bocoran pembuat Babuk dan kode sumbernya pada bulan Juli telah berkontribusi pada ketersediaannya yang luas, bahkan untuk operator ransomware yang kurang berpengalaman, seperti Tortilla,” para peneliti menyimpulkan, meminta pengguna untuk menerapkan keamanan pertahanan berlapis untuk menangkapnya. serangan dalam masa pertumbuhan.
Tetap waspada di komputer Anda dengan bantuan alat perlindungan titik akhir terbaik (terbuka di tab baru)dan pastikan Anda menggunakan ini perangkat lunak cadangan terbaik (terbuka di tab baru) untuk memulihkan data Anda
