当前位置:首页 > 产品中心

Exchange 任事器成为 Epsilon Red 恶意软件的攻击方针

发布时间: 2024-03-28 05:44:46  来源:天博app 

  迩来的探讨声明,恫吓攻击者行使了一套用作加密的 PowerShell 剧本安放了新的绑架软件,它诈欺未打补丁的 Exchange 供职器的欠缺来攻击企业收集。

  Sophos 首席探讨员 Andrew Brandt 正在网上宣告的一份呈文中写道,安适公司 Sophos 的探讨职员正在考核一家总部设正在美国的栈房业公司的攻击时涌现了这种新的绑架软件,并定名为 Epsilon Red。

  这个名字是由攻击者本身创作的,他们或许和行使 REvil 绑架软件举办攻击的是统一批人,这个名字是 X 战警漫威漫画中的一个不起眼的仇人脚色的名称。这个脚色是一个 据称来自俄罗斯的超等士兵 ,同时还装备了四个刻板触角。这犹如代表了绑架软件将其攻击界限伸入到企业内部的式样。

  他写道: 固然该恶意软件自己是一个用 Go 编程措辞编写的未加壳的 64 位 Windows 可施行次第,但它的交付编造更繁杂极少,它会寄托一系列的 PowerShell 剧本,为受害者的机械盘算好绑架软件有用载荷,并正在最终启动它。

  勃兰特写道,咱们正在留正在受感受电脑上的绑架音讯中找到了与 REvil 集团的极少接洽,它和 Revil 绑架软件留下的字条特殊好似,只是做了极少微细的语法矫正,云云看待英语母语者来说更容易阅读。然而,该绑架软件器材和名称犹如是攻击者自界说的,况且与之前的 REvil 攻击载体没有其他好似之处。

  按照该呈文,Sophos 正在观看到的攻击中的受害者最终正在 5 月 15 日支拨了 4.29 比特币的赎金,相当于当时的 21 万美元独揽。

  最初切入点是对一个未打补丁的企业微软 Exchange 供职器举办攻击,攻击者可能正在那里行使 Windows Management Instrumentation(WMI)软件 -- 一种正在 Windows 生态编造中自愿操作的剧本器材,然后将其他软件安置到他们可能从 Exchange 供职器访谒到的收集内的机械上。

  目前还不全部明了攻击者是否诈欺了污名昭著的 Exchange ProxyLogon 欠缺,该欠缺是本年早些时间微软曝出的一个高危欠缺。然而,据 Brandt 观看,收纠集行使未打补丁的供职器确实容易受到这一欠缺的攻击。

  正在这个攻击经过中,攻击者行使了一系列的 PowerShell 剧本,并将其编号为 1.ps1 至 12.ps1,另有极少以字母表中的单个字母定名的剧本,为被攻击的机械盘算结尾的有用载荷。他写道,这些剧本还交付并启动了 Epsilon Red 有用载荷。

  PowerShell 剧本行使了一种低级时势的搅浑办法,但这并不阻止 Sophos 探讨职员对其举办明白,但 Brandt 指出: 这种式样或许足以逃避反恶意软件器材的检测,然后该器材可能利市的扫描硬盘上的文献,这恰是攻击者所须要的 。

  Brandt 阐明说 : 该绑架软件自己是一个名为 RED.exe 的文献,它行使了一个名为 MinGW 的器材举办编译,并行使点窜后的打包器材 UPX 举办打包。有用载钱袋含了 GitHub 上一个名为 godirwalk 的开源项目标极少代码,使其可以扫描其运转的硬盘上的目次途径,并将其编译成为一个列表。

  他写道: 然后绑架软件会爆发一个新的子历程,差别对每个子文献夹举办加密,这正在短时候内会导致很多绑架软件副本历程同时运转。

  Brandt 观看到,可施行文献自己是一个幼文献,是一个很简便的次第,只是用于对对象编造上的文献举办加密,不举办收集衔接或有其他的任何要害功效 , 全部这些功效都正在 PowerShell 剧本内举办告终。

  因为攻击的切入点是未打补丁的微软 Exchange 供职器,很容易受到 ProxyLogon 欠缺的影响,Sophos 提议统治员尽速将全部供职器更新并实时对其打补丁,防卫攻击的爆发。

  电子通信技术是什么