»Tortilla» Gang abusa de las vulnerabilidades de ProxyShell para propagar Babuk

Se ha observado una campaña del ransomware Babuk, la cual explota las vulnerabilidades de ProxyShell en los servidores Exchange. Los expertos señalaron que las vulnerabilidades están siendo explotadas por actores de amenazas identificados como »Tortilla». Desde octubre, el grupo Tortilla ha estado explotando las vulnerabilidades del servidor Exchange Proxyshell utilizando la shell web de China […]

Se ha observado una campaña del ransomware Babuk, la cual explota las vulnerabilidades de ProxyShell en los servidores Exchange. Los expertos señalaron que las vulnerabilidades están siendo explotadas por actores de amenazas identificados como »Tortilla».

Desde octubre, el grupo Tortilla ha estado explotando las vulnerabilidades del servidor Exchange Proxyshell utilizando la shell web de China Chopper.

Si bien la mayoría de los objetivos son dirigidos a Estados Unidos, el ataque también se lanzó contra organizaciones ubicadas en Alemania, Brasil, Tailandia y el Reino Unido. La pandilla pide un rescate de alrededor de $ 10,000 en Monero para descifrar los documentos encriptados.

ProxyShell se refiere a un conjunto de tres vulnerabilidades que se identificaron en los servidores Microsoft Exchange en agosto.

Los defectos explotados se rastrean como CVE-2021-34523, CVE-2021-31207 y CVE-2021-34473.

Estas vulnerabilidades permiten a un atacante no autenticado encadenar los errores a la ejecución de código arbitrario.

El ataque comienza con el uso de un módulo de descarga en un servidor de víctimas como un formato ejecutable independiente y una DLL. El descargador de DLL lo ejecuta el proceso de trabajo de Exchange IIS.

Los atacantes han utilizado un exploit EfsPotato modificado para atacar fallas tanto en Proxyshell como en PetitPotam. Ejecuta un comando de PowerShell que descarga un módulo de descarga empaquetado.

Además, el comando de PowerShell ejecuta una omisión de AMSI para esquivar la protección del punto final. El cargador luego se conecta a «pastebin [.] Pl» para descargar un módulo desempaquetador.

Finalmente, el módulo desempaquetador implementa la carga útil del ransomware Babuk dentro de la memoria y la inyecta en un proceso NET Framework recién creado (AddInProcess32).