Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

Вс 21 Ноябрь 2021 10:29

Киберпреступники взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма.

В связанных с электронной почтой вредоносных кампаниях самое сложное - заставить получателя письма доверять отправителю настолько, чтобы открыть вредоносное вложение.

Специалисты ИБ-компании Trend Micro обнаружили интересную тактику отправки вредоносных электронных писем сотрудникам атакуемой организации со скомпрометированных серверов Microsoft Exchange. Ею пользуется известная хакерская группировка, распространяющая вредоносные электронные письма с вложениями, заражающими компьютеры вредоносным ПО Qbot, IcedID, Cobalt Strike и SquirrelWaffle.

Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.

Поскольку письма отправляются из той же внутренней сети и представляют собой продолжение уже ведущейся переписки между двумя сотрудниками, они не вызывают у получателей никаких подозрений. Более того, эти письма не вызывают никаких подозрений и у автоматических систем защиты электронной почты.

Вредоносные вложения представляют собой документ Microsoft Excel, для просмотра которого получатель должен "активировать контент". Однако после активации контента выполняются вредоносные макросы, загружающие и устанавливающие на систему вредоносное ПО (Qbot, Cobalt Strike, SquirrelWaffle и пр.).

Согласно отчету Trend Micro, в ходе данной вредоносной кампании распространяется загрузчик SquirrelWaffle, устанавливающий на систему вредоносное ПО Qbot. Однако исследователь из Cryptolaemus под псевдонимом TheAnalyst утверждает , что не SquirrelWaffle загружает Qbot, а вредоносный документ загружает обе программы по отдельности.

Microsoft исправила уязвимости ProxyLogon в марте 2021 года, а ProxyShell - в апреле и мае. Киберпреступники эксплуатировали их для развертывания вымогательского ПО или установки web-оболочек для последующего доступа к серверам. В случае с ProxyLogon дела обстояли так плохо, что ФБР даже пришлось удалить web-оболочки со скомпрометированных серверов Microsoft Exchange на территории США без предварительного уведомления пользователей.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 252 дня 6 часов 6 минут 55 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.