Tin tặc khai thác ProxyLogon và ProxyShell Flaws trong các chiến dịch thư rác

Các tác nhân đe dọa đang khai thác và ProxyShell trong các Máy chủ Exchange chưa được vá lỗi như một phần của chiến dịch spam đang diễn ra nhằm tận dụng các chuỗi email bị đánh cắp để vượt qua phần mềm bảo mật và triển khai phần mềm độc hại trên các hệ thống dễ bị tấn công.

Các phát hiện đến từ Trend Micro sau một cuộc điều tra về một số cuộc xâm nhập ở Trung Đông mà đỉnh điểm là việc phân phối một bộ nạp chưa từng thấy có tên SQUIRRELWAFFLE. Lần đầu tiên được ghi nhận công khai bởi Cisco Talos, các cuộc tấn công được cho là đã bắt đầu vào giữa tháng 9 năm 2021 thông qua các tài liệu Microsoft Office được đính kèm.

Các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Nó được biết đến với việc gửi các email độc hại dưới dạng thư trả lời cho các chuỗi email tồn tại từ trước, một chiến thuật làm giảm cảnh giác của nạn nhân trước các hoạt động độc hại”. “Để có thể thực hiện điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng chuỗi khai thác cả ProxyLogon và ProxyShell.”

ProxyLogon và ProxyShell đề cập đến một tập hợp các lỗ hổng trong Máy chủ Microsoft Exchange có thể cho phép tác nhân đe dọa nâng cao đặc quyền và thực thi từ xa mã tùy ý, cấp một cách hiệu quả khả năng kiểm soát các máy dễ bị tấn công. Trong khi các lỗi ProxyLogon đã được giải quyết vào tháng 3, các lỗi ProxyShell đã được vá trong một loạt các bản cập nhật được phát hành vào tháng 5 và tháng 7.

Xem tiếp:   Cảnh báo - Tin tặc khai thác trình cài đặt Windows mới Khai thác không ngày trong tự nhiên

Luồng nhiễm DLL

Trend Micro cho biết họ đã quan sát thấy việc sử dụng khai thác công khai cho CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) trên ba trong số các máy chủ Exchange đã bị xâm nhập trong các cuộc xâm nhập khác nhau, bằng cách sử dụng truy cập để chiếm đoạt các chuỗi email hợp pháp và gửi thư rác độc hại dưới dạng thư trả lời, do đó làm tăng khả năng người nhận không nghi ngờ sẽ mở email.

Các nhà nghiên cứu cho biết: “Việc phân phối thư rác độc hại bằng kỹ thuật này để tiếp cận tất cả người dùng miền nội bộ sẽ làm giảm khả năng phát hiện hoặc ngăn chặn cuộc tấn công, vì các đường dẫn thư sẽ không thể lọc hoặc cách ly bất kỳ email nội bộ nào”, các nhà nghiên cứu cho biết thêm. những kẻ tấn công đằng sau hoạt động đã không thực hiện di chuyển bên hoặc cài đặt phần mềm độc hại bổ sung để nằm trong tầm ngắm và tránh kích hoạt bất kỳ cảnh báo nào.

Chuỗi tấn công liên quan đến các thư email giả mạo có chứa một liên kết mà khi được nhấp vào, tệp Microsoft hoặc Word sẽ bị rơi ra. Đến lượt nó, việc mở tài liệu sẽ nhắc người nhận bật macro, cuối cùng dẫn đến việc tải xuống và thực thi trình tải phần mềm độc hại SQUIRRELWAFFLE, hoạt động như một phương tiện để tìm nạp các tải trọng ở giai đoạn cuối như Cobalt Strike và Qbot.

Xem tiếp:   Tin tặc APT C-23 sử dụng biến thể phần mềm gián điệp Android mới để nhắm mục tiêu người dùng Trung Đông

Sự phát triển này đánh dấu một bước leo thang mới trong các chiến dịch lừa đảo trong đó kẻ đe dọa đã xâm nhập vào máy chủ email Microsoft Exchange của công ty để truy cập trái phép vào hệ thống thư nội bộ của họ và phân phối email độc hại nhằm mục đích lây nhiễm phần mềm độc hại cho người dùng.

Các nhà nghiên cứu kết luận: “Các chiến dịch SQUIRRELWAFFLE nên khiến người dùng cảnh giác với các chiến thuật khác nhau được sử dụng để che giấu các email và tệp độc hại”. “Email đến từ các địa chỉ liên hệ đáng tin cậy có thể không đủ chỉ báo rằng bất kỳ liên kết hoặc tệp nào được bao gồm trong email đều an toàn.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …