骇客再开采Exchange Server ProxyShell漏洞以散布勒索软件

还记得ProxyShell漏洞吗？贵公司补了漏洞没？思科安全研究人员警告，又有一个骇客组织正在锁定未修补ProxyShell漏洞的Exchange Server散布勒索软件Babuk。

ProxyShell实际上是3个Exchange Server漏洞总称，包括CVE-2021-34473与CVE-2021-34523，以及CVE-2021-31207，分属远端程式攻击漏洞、权限扩张漏洞与安全功能绕过漏洞，影响Microsoft Exchange Server 2013、2016与2019。微软已在今年4、5月修补。

不过思科旗下Talos实验室研究人员于今年10月中，仍发现了ProxyShell恶意开采活动，他们研判是一个名为Tortilla的骇客组织所为，这个组织从今年7月开始活动。在这波攻击中，他们锁定未修补漏洞的Exchange Server植入Babuk勒索软件。受害者以美国企业为主，其他感染地区还包括英国、德国、乌克兰、芬兰、巴西、泰国及洪都拉斯。

图片来源_思科

这次攻击行动较特殊的是骇客使用了多阶段的恶意程式下载。研究人员在受害Exchange Server中，发现DLL及.NET执行档下载器，DLL下载器是以IIS work process合法程式，从恶意网域下载第2阶段的封装下载器。这个封装下载器为一加密档案，它有2个作用，一是躲避端点安全产品侦测，二是再连到pastebin.com的clone网站 pastebin.pl，以下载并解密最后的Babuk勒索软件。

研究人员相信，Tortilla是利用Exchange Server的Proxyshell漏洞内植入China Chopper webshell，并以此启动整个下载过程。

一旦Babuk下载并在受害者Exchange Server执行后，即会关闭备份产品或服务如Veeam的行程，删除阴影复制服务VSS屏幕撷图，然后加密系统内的档案，加密后的档案皆有.babyk的副档名。受害者会被勒索1万美元以交换解密金钥。

研究人员也提醒企业IT人员架构多层次安全，并使用行为分析产品来侦测威胁，保护端点及Exchange Server服务器。