Серверы Microsoft Exchange взломаны в результате атак с внутренней цепочкой ответов

12
Серверы Microsoft Exchange взломаны для развертывания вымогателя BlackByte

Злоумышленники взламывают серверы Microsoft Exchange с помощью эксплойтов ProxyShell и ProxyLogon для распространения вредоносных программ и обхода обнаружения с помощью украденных сообщений электронной почты с внутренней цепочкой ответов.

Когда злоумышленники проводят вредоносные почтовые кампании, самое сложное — заставить пользователей достаточно доверять отправителю, чтобы они открывали ссылки или включали в себя вложения, распространяющие вредоносное ПО.

Исследователи TrendMicro обнаружили интересную тактику распространения вредоносной электронной почты среди внутренних пользователей компании с использованием взломанных серверов обмена Microsoft Exchange жертвы.

Считается, что за этой атакой стоит «TR», известный злоумышленник, который рассылает электронные письма с вредоносными вложениями, которые сбрасывают вредоносные программы, включая полезные нагрузки Qbot, IcedID, Cobalt Strike и SquirrelWaffle.

Чтобы заставить корпоративные цели открыть вредоносные вложения, злоумышленник использует серверы Microsoft Exchange, используя уязвимости ProxyShell и ProxyLogon .

Затем злоумышленники используют эти скомпрометированные серверы Exchange для ответа на внутренние электронные письма компании в атаках с цепочкой ответов, содержащих ссылки на вредоносные документы, которые устанавливают различные вредоносные программы.

«В ходе того же вторжения мы проанализировали заголовки электронной почты на предмет полученных вредоносных писем, почтовый путь был внутренним (между почтовыми ящиками трех внутренних серверов обмена), что указывало на то, что электронные письма не исходили от внешнего отправителя, открытого почтового ретранслятора или любой агент передачи сообщений (MTA) », — поясняется в отчете Trend Micro.

Поскольку эти электронные письма исходят из одной внутренней сети и кажутся продолжением предыдущего обсуждения между двумя сотрудниками, это приводит к большей степени уверенности в том, что электронное письмо является законным и безопасным.

Это не только эффективно против людей-получателей, но также отлично подходит для того, чтобы не вызывать никаких тревог в системах защиты электронной почты, используемых в целевой фирме.

Вложения, которые приходят или связаны с этими электронными письмами, являются вашими стандартными вредоносными шаблонами Microsoft Excel, которые говорят получателям «Включить содержимое» для просмотра защищенного файла.

Однако, как только пользователь активирует контент, запускаются вредоносные макросы для загрузки и установки вредоносного ПО, распространяемого с помощью вложения, будь то Qbot, Cobalt Strike, SquirrelWaffle или другое вредоносное ПО.

Согласно отчету Trend Micro, исследователи заявили, что они видели, как эти атаки распространяли загрузчик SquirrelWaffle, который затем устанавливает Qbot.

Тем не менее, исследователь Cryptolaemus TheAnalyst говорит, что вредоносный документ, используемый этим злоумышленником, отбрасывает оба вредоносных ПО как отдельные полезные данные, а не SquirrelWaffle, распространяющий Qbot.

Обновляйте свои серверы Exchange

Microsoft устранила уязвимости ProxyLogon в марте и уязвимость ProxyShell в апреле и мае , рассматривая их как «нулевые дни» на тот момент.

Злоумышленники использовали обе уязвимости для развертывания программ-вымогателей или установки веб-шеллов для последующего доступа к бэкдору . Атаки ProxyLogon стали настолько серьезными, что ФБР удалило веб-оболочки со скомпрометированных серверов Microsoft Exchange в США без предварительного уведомления владельцев серверов.

После всего этого времени и широкого распространения информации об этих уязвимостях, отказ от исправления серверов Exchange — это просто открытое приглашение для хакеров.

Предыдущая статьяMicrosoft: Office 365 повысит защиту по умолчанию для всех пользователей
Следующая статьяSEC США предупреждает инвесторов о продолжающихся атаках на правительство

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here