Physical Address

304 North Cardinal St.
Dorchester Center, MA 02124

सिस्को टैलोस ने बाबुक रैंसमवेयर के एक्सचेंज सर्वर को लक्षित करने के नए संस्करण की रिपोर्ट दी


टॉर्टिला नामक एक नया बुरा अभिनेता अभियान चला रहा है, और सबसे अधिक प्रभावित उपयोगकर्ता यूएस में हैं

सिस्को टैलोस ने हाल ही में एक असामान्य संक्रमण श्रृंखला तकनीक के माध्यम से बाबुक रैंसमवेयर के वेरिएंट को तैनात करने वाले एक दुर्भावनापूर्ण अभियान की खोज की।

छवि: सिस्को तलोस

सिस्को टैलोस ने अमेरिकी कंपनियों के लिए बाबुक रैंसमवेयर के एक नए संस्करण के बारे में चेतावनी दी है। सुरक्षा शोधकर्ताओं ने अक्टूबर के मध्य में अभियान की खोज की और सोचते हैं कि संस्करण जुलाई 2021 से सक्रिय है। इस हमले में नया तत्व एक असामान्य संक्रमण श्रृंखला तकनीक है।

सुरक्षा शोधकर्ता चेतन रघुप्रसाद, वंजा स्वेजर और केटलीन ह्यूए तालोस इंटेलिजेंस ब्लॉग पोस्ट में नए खतरे का वर्णन करें. शोधकर्ताओं का मानना ​​है कि प्रारंभिक संक्रमण वेक्टर चीन चॉपर वेब शेल की तैनाती के माध्यम से माइक्रोसॉफ्ट एक्सचेंज सर्वर में प्रॉक्सीशेल कमजोरियों का शोषण है।

बाबुक कई हार्डवेयर और सॉफ्टवेयर प्लेटफॉर्म को प्रभावित कर सकता है लेकिन यह संस्करण विंडोज को लक्षित कर रहा है। रैंसमवेयर लक्ष्य की मशीन को एन्क्रिप्ट करता है, सिस्टम बैकअप प्रक्रिया को बाधित करता है और वॉल्यूम शैडो कॉपी को हटाता है।

देख: सबसे प्रचलित रैंसमवेयर खतरों का मुकाबला कैसे करें

शोधकर्ताओं के अनुसार, संक्रमण श्रृंखला इस तरह काम करती है: एक DLL या .NET निष्पादन योग्य पीड़ित के सिस्टम पर हमला शुरू करता है। डीएलएल एक मिश्रित मोड असेंबली है। प्रारंभिक डाउनलोडर का .NET निष्पादन योग्य संस्करण अगले चरण को डाउनलोड करने और ट्रिगर करने के लिए कोड के साथ EfsPotato शोषण का एक संशोधित संस्करण है।

पीड़ित के सर्वर पर प्रारंभिक डाउनलोडर मॉड्यूल एक पैक्ड डाउनलोडर मॉड्यूल को डाउनलोड करने के लिए एक एम्बेडेड और अस्पष्ट पावरशेल कमांड चलाता है। इस दूसरे मॉड्यूल ने बिटमैप छवियों के रूप में .NET संसाधनों को एन्क्रिप्ट किया है। पावरशेल कमांड एंडपॉइंट डिटेक्शन से बचने के लिए एएमएसआई बाईपास भी निष्पादित करता है।

पैक्ड डाउनलोडर मॉड्यूल pastebin.pl (एक PasteBin क्लोन साइट) पर एक URL से जुड़ता है जिसमें एक इंटरमीडिएट अनपैकर मॉड्यूल होता है। अनपैकर ट्रोजन के संसाधन खंड से बिटमैप छवियों को जोड़ता है और फिर स्मृति में पेलोड को डिक्रिप्ट करता है। पेलोड को AddInProcess32 प्रक्रिया में इंजेक्ट किया जाता है और पीड़ित के सर्वर और सभी माउंटेड ड्राइव पर फाइलों को एन्क्रिप्ट करता है। सिस्को टैलोस पोस्ट में हमले के प्रत्येक चरण और उपकरण का विवरण है।

सिस्को टैलोस की टेलीमेट्री यह भी बताती है कि नया संस्करण अन्य उत्पादों में कई अन्य कमजोरियों का फायदा उठाने की कोशिश करता है, जो आमतौर पर इन स्नॉर्ट नियमों को ट्रिगर करते हैं:

  • माइक्रोसॉफ्ट एक्सचेंज ऑटोडिस्कवर सर्वर साइड अनुरोध जालसाजी प्रयास (57907)
  • एटलसियन कॉन्फ्लुएंस ओजीएनएल इंजेक्शन रिमोट कोड निष्पादन प्रयास (58094)
  • अपाचे स्ट्रट्स रिमोट कोड निष्पादन प्रयास (39190, 39191)
  • निर्देशिका ट्रैवर्सल प्रयास के माध्यम से वर्डप्रेस wp-config.php एक्सेस (41420)
  • सोलरविंड्स ओरियन प्रमाणीकरण बाईपास प्रयास (56916)
  • Oracle WebLogic Server दूरस्थ कमांड निष्पादन प्रयास (50020)
  • Liferay मनमाना Java ऑब्जेक्ट अक्रमांकन प्रयास (56800)

शोधकर्ताओं ने ध्यान दिया कि बाबुक बिल्डर और इसका स्रोत कोड जुलाई में लीक हो गया था और टॉर्टिला रैंसमवेयर अभिनेता विभिन्न पेलोड के साथ प्रयोग कर रहा है। ब्लॉग पोस्ट के अनुसार, इस समूह में “सुरक्षा अवधारणाओं की एक अच्छी समझ और मौजूदा मैलवेयर और आक्रामक सुरक्षा उपकरणों में मामूली संशोधन करने की क्षमता के साथ निम्न से मध्यम कौशल” है।

और देखें



Source link

Leave a Reply