Операторы вымогателя Babuk эксплуатируют уязвимости ProxyShell

Исследователи в области кибербезопасности из Cisco Talos обнаружили новую вредоносную кампанию операторов вымогательского ПО Babuk, нацеленную на уязвимости ProxyShell в серверах Microsoft Exchange. Злоумышленники используют web-оболочку China Chopper для первоначального взлома и установки вредоносного ПО Babuk.

Уязвимости ( CVE-2021-34473 , CVE-2021-34523 и CVE-2021-31207 ) были исправлены в апреле и мае нынешнего года, а технические подробности были опубликованы в августе. Неавторизованный злоумышленник может использовать проблемы для выполнения произвольного кода. Используемая цепочка заражения включает промежуточный модуль распаковки, который загружается с pastebin.pl (клон pastebin.com), а затем декодируется в памяти перед расшифровкой и выполнением окончательной полезной нагрузки.

Cisco Talos обнаружила модифицированный эксплоит EfsPotato, нацеленный как на уязвимости ProxyShell, так и на уязвимости PetitPotam , которые используются для первоначального взлома.

После запуска программа-вымогатель Babuk пытается отключить ряд процессов на атакованном сервере, остановить решения резервного копирования, а также удаляет моментальные снимки службы теневого копирования томов (VSS). Затем она шифрует все файлы на сервере, добавляет к ним расширение файла .babyk и размещает записку с требованием выкупа в размере $10 тыс. в обмен на ключ дешифрования .