{"id":259115,"date":"2021-11-06T00:32:00","date_gmt":"2021-11-05T23:32:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=259115"},"modified":"2023-02-20T08:18:33","modified_gmt":"2023-02-20T07:18:33","slug":"babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/11\/06\/babuk-gang-nutzt-proxyshell-schwachstelle-in-exchange-fr-ransomware-angriffe\/","title":{"rendered":"Babuk-Gang nutzt ProxyShell-Schwachstelle in Exchange für Ransomware-Angriffe"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Cisco Talos sind darauf gesto\u00dfen, dass die Babuk-Ransomware-Gang die ProxyShell-Schwachstelle in Microsoft Exchange verwendet, um eine Web-Shell mit dem Namen \"China Chopper\" zu installieren. Ein Babuk-Ransomware-Partner namens \"Tortilla\" ist wohl im Oktober zu der Gruppe gesto\u00dfen und stellt diese Web-Shell bereit. Die ProxyShell-Schwachstelle l\u00e4sst sich l\u00e4ngst durch Updates auf on-premises Microsoft Exchange Servern schlie\u00dfen.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet<\/a> von Bleeping Computer auf diese Bedrohung aufmerksam geworden. Cisco Talos beschreibt den Sachverhalt im Blog-Beitrag Microsoft Exchange vulnerabilities exploited once again for ransomware, this time with Babuk<\/a>. Eine Zusammenfassung<\/a> gibt es bei Bleeping Computer.<\/p>\n

<\/a><\/p>\n

Babuk Ransomware-Kampagne im Oktober<\/h2>\n

Am 12. Oktober 2021 stie\u00dfen die Sicherheitsforscher von Cisco Talos \u00fcber die Telemetriedaten ihrer Sicherheitsl\u00f6sungen auf eine Kampagne, die auf anf\u00e4llige Microsoft Exchange-Server abzielt. Dabei wird versucht, die ProxyShell-Schwachstelle auszunutzen, um die Babuk-Ransomware auf den Exchange Servern der Opfers einzusetzen.<\/p>\n

Die Kampagne, die Varianten der Babuk-Ransomware einsetzt, betrifft vor allem Nutzer in den USA. Es gibt aber auch eine kleinere Anzahl von Infektionen in Gro\u00dfbritannien, Deutschland, der Ukraine, Finnland, Brasilien, Honduras und Thailand.<\/p>\n

Der Akteur der Kampagne wird, basierend auf den Namen der in der Kampagne verwendeten Nutzlastdateien, von Cisco Talos als Tortilla bezeichnet. Es handelt sich um einen neuen Akteur, der seit Juli 2021 aktiv ist. Vor dieser Ransomware-Kampagne hat Tortilla mit anderen Nutzdaten, z. B. mit dem PowerShell-basierten netcat-Klon Powercat, experimentiert, Damit wir Angreifern bekannterma\u00dfen unbefugten Zugriff auf Windows-Rechner erm\u00f6glicht.<\/p>\n

Die Sicherheitsforscher sind sich halbwegs sicher, dass der anf\u00e4ngliche Infektionsvektor die Ausnutzung von ProxyShell-Schwachstellen in Microsoft Exchange Server durch den Einsatz der China Chopper Web Shell ist, hei\u00dft es im betreffenden Blog-Beitrag.<\/p>\n

Die Babuk-Infektionskette<\/h2>\n

Der Bedrohungsakteur verwendet eine etwas ungew\u00f6hnliche Technik der Infektionskette, bei der ein zwischengeschaltetes Entpackungsmodul auf einem pastebin.com-Klon pastebin.pl<\/em> gehostet wird. Die Zwischenstufe des Entpackens wird heruntergeladen und im Speicher entschl\u00fcsselt, bevor die endg\u00fcltige Nutzlast, die in das urspr\u00fcngliche Sample eingebettet ist, entschl\u00fcsselt und ausgef\u00fchrt wird.<\/p>\n