【安全资讯】Tortilla攻击者利用ProxyShell 漏洞部署 Babuk 勒索软件

猎影实验室 2021-11-04 06:10:33 2518人浏览

引言

Tortilla是一个自 2021 年 7 月开始运营的攻击者。近日,研究人员发现了一项由Tortilla发起的恶意活动,该活动针对易受攻击的 Microsoft Exchange 服务器,试图利用 ProxyShell 漏洞在受害者环境中部署 Babuk 勒索软件。该活动主要影响美国的用户,也影响了英国、德国、乌克兰、芬兰、巴西、洪都拉斯和泰国的少量用户。

 

简况

此次恶意活动的攻击者为Tortilla,是一个自 2021 年 7 月开始运营的新攻击者。在此次勒索软件攻击活动之前,Tortilla 一直在试验其他有效载荷,如基于 PowerShell 的 netcat clone PowerCat。Netcat 是一个网络实用程序,用于使用 TCP 或 UDP 读取和写入网络连接,旨在成为一个可靠的后端,可以直接使用或由其他程序和脚本轻松驱动。

 

Babuk是一种自2021年1月开始运营的勒索软件,Babuk勒索团伙曾在4月份攻击了华盛顿特区警察局。Babuk采用双重勒索,除了加密文件外,还威胁称要发布窃取的数据,迫使受害者支付赎金。此外,Babuk勒索软件不仅会加密受害者的机器,还会打断系统备份过程并删除卷影副本。

 

恶意活动使用 DLL 或 .NET 可执行文件。这两种类型的文件之一在目标系统上启动感染链。初始 .NET 可执行模块作为 w3wp.exe 的子进程运行,并调用命令shell来运行混淆的 PowerShell 命令。PowerShell 命令调用 Web 请求并使用 certutil.exe 下载有效负载加载器模块。有效负载加载器从 PasteBin 克隆站点 pastebin.pl 下载一个中间解包stage。解包程序将有效载荷解密到内存中。负载被注入进程 AddInProcess32 并用于加密受害者服务器和所有挂载的驱动器上的文件。感染流程图如下:

感染链涉及China Chopper,这是一个可以追溯到2010年的webshell,它曾被用于2019年针对电信提供商的大规模攻击。在此次恶意活动中,它被用来访问 Exchange Server 系统。工作人员以中等置信度评估,最初的感染媒介是在部署China Chopper web shell过程中,对Microsoft Exchange Server中的 ProxyShell 漏洞的利用。

 

DNS请求主要来自美国,也影响了英国、德国、乌克兰、芬兰、巴西、洪都拉斯和泰国的少数用户。攻击的地理分布如下图:

总结

Tortilla攻击者自今年 7 月初才开始运营,并一直在试验不同的有效载荷,显然是为了获得和保持对受感染系统的远程访问。Babuk勒索软件的builder及其源代码曾在 7 月份泄漏,从而使类似于Tortilla这样的经验不足的勒索软件运营商,也可以使用该恶意软件。

失陷指标(IOC)18
Tortilla 勒索软件 Babuk 漏洞利用 美国 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。