2021-11-07 18:10:15
#news В августе я вам рассказывал про уязвимости в Microsoft Exchange, названные ProxyShell. Потом их ещё начала использовать рансомварь LockFile, комбинируя с PetitPotam.
Итак, ProxyShell снова на сцене! С октября эти уязвимости, тоже сочетая с PetitPotam, эксплойтит рансомварь Babuk. Новую кампанию заметили исследователи из Cisco Talos, назвав её Tortilla: по имени используемых экзешников.
Работает всё это дело пресно. Сначала малварь закидывает на сервер .DLL или .NET-экзешник, пользуясь уязвимостями. Процесс Exchange ISS, w3wp.exe, запускает зловредные файлы, которые обфусцированной командой тянут на сервер загрузчик, Tortilla.exe. Загрузчик, в свою очередь, идёт на pastebin и тащит оттуда пейлоад, который и шифрует все файлы Babuk'ом.
Недавно опубликованные дешифраторы жертвам точно пригодятся — есть варианты и для LockFile, и для Babuk.
@tomhunter
813 viewsedited 15:10