- La comparaison
- Tutoriels
- Les serveurs Microsoft Exchange subissent toujours des cyberattaques, alors corrigez-les maintenant
Les spécialistes de la cybersécurité ont découvert une nouvelle campagne malveillante qui cherche à exploiter la vulnérabilité ProxyShell déjà corrigée dans les serveurs de messagerie Microsoft Exchange, telle que la vulnérabilité Windows PetitPotam, soulignant à nouveau la pertinence de corriger les vulnérabilités dans les composants critiques. La nouvelle campagne visant à localiser des hôtes fragiles non corrigés pour intégrer une variante du rançongiciel Babuk a été découverte par des chercheurs de la suite Cisco Talos Threat Intelligence à l'aide de la télémétrie du produit Cisco Secure. "Nous évaluons avec une confiance modérée que le vecteur d'infection initial est l'exploitation des vulnérabilités de ProxyShell dans Microsoft Exchange Server via le déploiement du shell Web China Chopper", partagent les chercheurs. Selon les chercheurs, la campagne trouve principalement des serveurs fragiles aux États-Unis, avec un plus petit nombre d'infections se produisant également au Royaume-Uni, en Allemagne, en Ukraine, en Finlande, au Brésil, au Honduras et en Thaïlande.
Chaîne d'infection inhabituelle
Les chercheurs soulignent que l'acteur menaçant derrière cette campagne, parfois appelé Tortilla, utilise une chaîne d'infection quelque peu inhabituelle. Il utilise d'abord un module de déballage intermédiaire hébergé sur un clone pastebin.com appelé pastebin.pl. Cette étape de décompression intermédiaire est d'abord téléchargée en mémoire avant l'exécution finale de la charge utile. En examinant l'attaque, les chercheurs notent que le téléchargeur exécute une commande PowerShell cachée pour se connecter et récupérer un autre module de l'infrastructure de l'acteur, qui semble être hébergé en Russie. La commande PowerShell effectue également un contournement de l'interface AMSI (Anti-Malware Scanner Interface) pour contourner la protection des terminaux, avant d'intégrer finalement le rançongiciel Babuk. "La fuite du fournisseur Babuk et de son code source en juillet a contribué à sa large disponibilité, même pour les opérateurs de rançongiciels moins expérimentés comme Tortilla", concluent les chercheurs, demandant aux utilisateurs d'intégrer une sécurité défensive. Dans les premiers stades. Restez vigilant sur vos ordinateurs à l'aide des meilleurs outils de protection des terminaux et assurez-vous d'utiliser ces meilleurs logiciels de sauvegarde pour récupérer vos données.