Злонамерени нападатели хакват сървъри на Microsoft Exchange, използвайки ProxyShell и ProxyLogon за разпространение на злонамерен софтуер, използвайки откраднати имейли от вътрешна верига за отговор.
Когато участниците в заплахата провеждат злонамерени имейл кампании, най-трудната част е да подмамят потребителите да се доверят достатъчно на подателя, така че да отворят прикачените файлове, разпространяващи злонамерен софтуер.
Изследователите на TrendMicro откриха интересна тактика, използвана за разпространение на злонамерен имейл до вътрешните потребители на компанията, използвайки компрометираните сървъри за обмен.
Смята се, че действащите зад тази атака са „TR“. Известен участник в заплахата, разпространява имейли със злонамерени прикачени файлове, които разпространяват зловреден софтуер, включително Qbot, IcedID, Cobalt Strike и SquirrelWaffle.
Един от начините да бъдат подмамени корпоративни клиенти да отварят имейлите със злонамерените прикачени файлове, нападателите използват сървърите на Microsoft Exchange, използвайки уязвимостите ProxyShell и ProxyLogon.
След като са проникнали във вътрешната мрежа, участниците в заплахата използват тези компрометирани Exchange сървъри, за да отговарят на вътрешните имейли на компанията при атаки с верига за отговор, съдържащи връзки към злонамерени документи, които инсталират различен зловреден софтуер.
Тъй като тези имейли произхождат от една и съща вътрешна мрежа и изглежда са продължение на предишна дискусия между двама служители, това води до голяма степен на доверие, че имейлът е легитимен и безопасен.
Това не само е ефективно срещу човешките получатели, но също така е достатъчно, за да не вдигне никакви аларми на системите за защита на имейла, използвани във фирмата.
Прикачените файлове, които идват или са свързани с тези имейли, са стандартни злонамерени шаблони на Microsoft Excel, които казват на получателите да „Активират съдържанието“, за да видят защитения файл.
Въпреки това, след като потребителят активира съдържание, се изпълняват злонамерени макроси за изтегляне и инсталиране на зловреден софтуер, разпространяван от прикачения файл, независимо дали това е Qbot, Cobalt Strike, SquirrelWaffle или друг зловреден софтуер.
Според доклада на Trend Micro, изследователите споделят, че са видели тези атаки да разпространяват SquirrelWaffle loader, който след това инсталира Qbot.
Поддържайте вашите Exchange сървъри актуализирани
Microsoft поправи уязвимостите ProxyLogon през март и уязвимостта ProxyShell през април и май, като ги отстрани като нулеви дни.
Нападателите са злоупотребили и с двете уязвимости, за да внедрят софтуер за откуп. След цялото това време и широката медийна популярност, която тези уязвимости са получили, както и непоставянето на корекции на Exchange сървърите, остава една отворена покана за хакери.
More information: