นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญที่เป็นอันตรายใหม่ที่พยายามใช้ประโยชน์จากช่องโหว่ ProxyShell ที่ได้รับการแพตช์แล้วในเซิร์ฟเวอร์เมล Microsoft Exchange เช่น ช่องโหว่ Windows PetitPotam โดยเน้นย้ำถึงความเกี่ยวข้องของการแก้ไขช่องโหว่ในองค์ประกอบที่สำคัญอีกครั้ง แคมเปญใหม่ที่หวังจะหาโฮสต์ที่เปราะบางและไม่ได้รับการติดตั้งเพื่อรวมเอารูปแบบของแรนซัมแวร์ Babuk ถูกค้นพบโดยนักวิจัยที่ Cisco Talos Threat Intelligence Suite โดยใช้การวัดและส่งข้อมูลทางไกลจากผลิตภัณฑ์ Cisco Secure “เราให้คะแนนด้วยความมั่นใจปานกลางว่าเวกเตอร์การติดไวรัสเริ่มแรกคือการใช้ประโยชน์จากช่องโหว่ของ ProxyShell ใน Microsoft Exchange Server ผ่านการปรับใช้เว็บเชลล์ของ China Chopper” นักวิจัยกล่าว ตามที่นักวิจัยระบุว่า แคมเปญนี้ค้นหาเซิร์ฟเวอร์ที่เปราะบางในสหรัฐอเมริกาเป็นหลัก โดยมีจำนวนการติดเชื้อน้อยกว่าในสหราชอาณาจักร เยอรมนี ยูเครน ฟินแลนด์ บราซิล ฮอนดูรัส และไทย
ห่วงโซ่การติดเชื้อที่ผิดปกติ
นักวิจัยตั้งข้อสังเกตว่าผู้คุกคามที่อยู่เบื้องหลังแคมเปญนี้ ซึ่งบางครั้งเรียกว่า Tortilla กำลังใช้ห่วงโซ่การติดเชื้อที่ค่อนข้างผิดปกติ ขั้นแรกจะใช้โมดูลแกะกล่องระดับกลางที่โฮสต์บนโคลนของ pastebin.com ที่เรียกว่า pastebin.pl ขั้นตอนการคลายแพ็กระหว่างกลางนี้จะถูกล้างลงในหน่วยความจำก่อนดำเนินการเพย์โหลดสุดท้าย จากการตรวจสอบการโจมตี นักวิจัยตั้งข้อสังเกตว่าตัวดาวน์โหลดดำเนินการคำสั่ง PowerShell ที่ซ่อนอยู่เพื่อเชื่อมต่อและกู้คืนโมดูลอื่นของโครงสร้างพื้นฐานของนักแสดง ซึ่งดูเหมือนว่าจะโฮสต์อยู่ในรัสเซีย คำสั่ง PowerShell ยังเลี่ยงผ่าน Anti-Malware Scanner Interface (AMSI) เพื่อเลี่ยงผ่านการป้องกันอุปกรณ์ปลายทาง ก่อนที่จะรวมเอาแรนซัมแวร์ Babuk เข้าด้วยกันในที่สุด “การรั่วไหลของผู้ผลิต Babuk และซอร์สโค้ดในเดือนกรกฎาคม ส่งผลให้มีความพร้อมใช้งานอย่างกว้างขวาง แม้แต่กับผู้ให้บริการแรนซัมแวร์ที่มีประสบการณ์น้อย เช่น Tortilla” นักวิจัยสรุป โดยขอให้ผู้ใช้รวมการรักษาความปลอดภัยเชิงป้องกัน ในระยะแรก ปลอดภัยบนคอมพิวเตอร์ของคุณด้วยความช่วยเหลือของเครื่องมือป้องกันปลายทางที่ดีที่สุด และอย่าลืมใช้โปรแกรมสำรองข้อมูลที่ดีที่สุดเหล่านี้ในการกู้คืนข้อมูลของคุณ