กลุ่มผู้ไม่หวังดีรายใหม่กำลังเริ่มโจมตีเซิร์ฟเวอร์ Microsoft Exchange และเครือข่ายองค์กรโดยใช้ช่องโหว่ ProxyShell เพื่อติดตั้ง Babuk Ransomware
ช่องโหว่ ProxyShell ของเซิร์ฟเวอร์ Microsoft Exchange ถูกพบเมื่อหลายเดือนก่อน โดยกลุ่ม LockFile และ Conti เป็นหนึ่งในกลุ่มแรนซัมแวร์กลุ่มแรกๆที่ใช้ประโยชน์จากช่องโหว่นี้
ตามรายงานของนักวิจัยจาก Cisco Talos กลุ่มแฮกเกอร์ซึ่งคาดว่าเป็นพันธมิตรของ Babuk ransomware ที่รู้จักกันในชื่อ 'Tortilla' ได้เข้าร่วมการโจมตีด้วยช่องโหว่นี้ในเดือนตุลาคม เมื่อแฮกเกอร์เริ่มใช้เว็บเชลล์ 'China Chopper' บนเซิร์ฟเวอร์ Exchange ที่ถูกโจมตี
การโจมตีของ Babuk ransomware เริ่มต้นด้วย DLL หรือ .NET executable บนเซิร์ฟเวอร์ Exchange โดยใช้ช่องโหว่ ProxyShell กระบวนการของแฮกเกอร์ที่ใช้ Exchange IIS w3wp.exe จะดำเนินการโดยใช้เพย์โหลดที่เป็นอันตราย เพื่อใช้คำสั่ง PowerShell ที่ซับซ้อนซึ่งมีการหลีกเลี่ยงการตรวจจับของ Endpoint และมีการเรียก payload loader ชื่อว่า 'tortilla.exe'
Loader นี้จะเชื่อมต่อกับ 'pastebin.pl' และทำการดาวน์โหลด payload ที่โหลดลงในหน่วยความจำ และใส่เข้าไปในกระบวนการ NET Framework ซึ่งท้ายที่สุดแล้วจะเข้ารหัสอุปกรณ์ด้วย Babuk Ransomware
นักวิเคราะห์ของ Cisco พบหลักฐานจากข้อมูลส่วนใหญ่ของการโจมตีว่ามาจากช่องโหว่ของ ProxyShell โดยเฉพาะเว็บเชลล์ 'China Chopper'
Tortilla ดำเนินการตามนี้เพื่อวางโมดูล DLL และ .NET
- ความพยายามในการปลอมแปลง auto-discover server-side request ของ Microsoft Exchange
- การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Atlassian Confluence OGNL
- การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Apache Struts
- WordPress wp-config.php การเข้าถึงผ่านการพยายามใช้ directory traversal
- Authentication bypass บน SolarWinds Orion
- การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลของ Oracle WebLogic Server
- Liferay arbitary Java object deserialization
เนื่องจากการโจมตีเหล่านี้อาศัยช่องโหว่ที่ได้รับการแก้ไขแล้ว จึงขอแนะนำให้ผู้ดูแลระบบทุกคนอัปเดตซอฟแวร์ดังกล่าวให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันไม่ให้ถูกโจมตี
การใช้ Babuk ในการโจมตีครั้งใหม่
Babuk Locker เป็นแรนซัมแวร์ที่เปิดตัวเมื่อต้นปี 2564 โดยมุ่งเป้าไปยังธุรกิจต่างๆ และเป็น Ransomware ในใช้รูปแบบการโจมตีแบบ Double-extortion หลังจากทำการโจมตีกรมตำรวจ Washinton DC's Metropolitan (MPD) ของ Washinton DC และถูกกดดันจากหน่วยงานบังคับใช้กฎหมายของสหรัฐฯ ทำให้กลุ่มแรนซัมแวร์ปิดตัวลง
หลังจากที่ซอร์สโค้ดของ Babuk เวอร์ชันแรกรั่วไหลในฟอรัมของแฮกเกอร์ ผู้โจมตีกลุ่มอื่นๆ ก็เริ่มนำมาใช้ในการโจมตีของตนเอง และยังไม่แน่ชัดว่า Tortilla เป็นบริษัทในเครือของ Babuk ด้วยหรือไม่
อย่างไรก็ตาม เนื่องจากค่าไถ่ที่ใช้ในการโจมตีเหล่านี้มีการเรียกเงิน Monero ขั้นต่ำ 10,000 ดอลลาร์ จึงไม่น่าจะเป็นการดำเนินการโดย Babuk เอง ซึ่งปกติจะเรียกร้องค่าไถ่ในจำนวนที่มากกว่าในสกุลเงินของ Bitcoin
แม้ว่านักวิจัยของ Talos จะสังเกตเห็นการโจมตีในเยอรมนี ไทย บราซิล และสหราชอาณาจักร แต่เป้าหมายของ Tortilla ส่วนใหญ่อยู่ในสหรัฐฯ โดย IP address ของเซิร์ฟเวอร์ดาวน์โหลดมัลแวร์อยู่ในมอสโก รัสเซีย ซึ่งอาจบ่งบอกถึงที่มาของการโจมตีเหล่านี้ แต่ไม่มีข้อสรุปของการระบุแหล่งที่มาในรายงาน
นอกจากนี้ โดเมน 'pastebin.pl' ที่ใช้สำหรับ unpacking stage ยังเคยถูกใช้ในทางที่ผิดโดยแคมเปญ AgentTesla และ FormBook ก่อนหน้านี้
ในขณะที่ตัวถอดรหัสที่เคยถูกปล่อยออกมาสำหรับ Babuk ransomware จะสามารถถอดรหัสได้เฉพาะผู้ที่ตกเป็นเหยื่อที่มี Private Keys ซึ่งตรงกับซอร์สโค้ดของ Babuk ที่เคยรั่วไหลออกมาก่อนหน้านี้เท่านั้น ดังนั้น ผู้โจมตีกลุ่มอื่นก็ยังคงสามารถใช้ Babuk ransomware ในการโจมตีได้อยู่ตามปกติ
ที่มา: bleepingcomputer
You must be logged in to post a comment.