Κακόβουλοι παράγοντες έχουν παραβιάσει διακομιστές του Microsoft Exchange, χρησιμοποιώντας εκμεταλλεύσεις ProxyShell και ProxyLogon, για τη διανομή κακόβουλου λογισμικού και την παράκαμψη της ανίχνευσης, χρησιμοποιώντας κλεμμένα εσωτερικά μηνύματα αλληλογραφίας.
Δείτε επίσης: Microsoft Exchange: Νέα λειτουργία μετριάζει αυτόματα τα bug υψηλού κινδύνου
Οι ερευνητές της TrendMicro ανακάλυψαν μια ενδιαφέρουσα τακτική που χρησιμοποιείται για τη διανομή κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου σε εσωτερικούς χρήστες μιας εταιρείας, χρησιμοποιώντας τους διακομιστές ανταλλαγής Microsoft που έχουν παραβιαστεί από το ίδιο το θύμα.
Οι hackers πίσω από αυτήν την επίθεση πιστεύεται ότι είναι οι “TR“, μία γνωστή ομάδα hacking που διανέμει μηνύματα ηλεκτρονικού ταχυδρομείου με κακόβουλα συνημμένα, που διανέμουν κακόβουλο λογισμικό, συμπεριλαμβανομένων ωφέλιμων φορτίων Qbot, IcedID, Cobalt Strike και SquirrelWaffle.
Ως τρόπος εξαπάτησης εταιρικών στόχων για να ανοίξουν κακόβουλα συνημμένα, η ομάδα εκμεταλλεύεται διακομιστές Microsoft Exchange, χρησιμοποιώντας τις ευπάθειες ProxyShell και ProxyLogon.
Στη συνέχεια, οι κακόβουλοι παράγοντες χρησιμοποιούν αυτούς τους διακομιστές του Exchange που έχουν παραβιαστεί για να απαντήσουν στα εσωτερικά μηνύματα ηλεκτρονικού ταχυδρομείου της εταιρείας σε επιθέσεις reply-chain που περιέχουν συνδέσμους προς κακόβουλα έγγραφα που εγκαθιστούν διάφορα κακόβουλα προγράμματα.
Δείτε ακόμα: Microsoft Exchange Autodiscover: Bugs διαρρέουν Windows credentials
Καθώς αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προέρχονται από το ίδιο εσωτερικό δίκτυο και φαίνεται να αποτελούν συνέχεια μιας προηγούμενης συζήτησης μεταξύ δύο υπαλλήλων, οδηγούν σε μεγαλύτερο βαθμό εμπιστοσύνης ότι το email είναι νόμιμο και ασφαλές.
Όχι μόνο είναι αποτελεσματικό κατά των ανθρώπων, αλλά είναι επίσης εξαιρετικό για να μην προκαλεί κανένα συναγερμό στα συστήματα προστασίας email που χρησιμοποιούνται στην εταιρεία-στόχο.
Τα συνημμένα που παρέχονται ή συνδέονται με αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι τα τυπικά κακόβουλα πρότυπα του Microsoft Excel που λένε στους παραλήπτες να “Ενεργοποιήσουν το περιεχόμενο” για να προβάλουν ένα προστατευμένο αρχείο.
Ωστόσο, μόλις ο χρήστης ενεργοποιήσει το περιεχόμενο, εκτελούνται κακόβουλες μακροεντολές για λήψη και εγκατάσταση του κακόβουλου λογισμικού που διανέμεται από το συνημμένο, είτε αυτό είναι Qbot, Cobalt Strike, SquirrelWaffle ή άλλο κακόβουλο λογισμικό.
Σύμφωνα με την αναφορά της Trend Micro, οι ερευνητές είπαν ότι είδαν αυτές τις επιθέσεις να διανέμουν το SquirrelWaffle, που στη συνέχεια εγκαθιστά το Qbot.
Η Microsoft έχει διορθώσει τις ευπάθειες ProxyLogon τον Μάρτιο και την ευπάθεια ProxyShell τον Απρίλιο και τον Μάιο, αντιμετωπίζοντάς τις ως zero-days.
Δείτε επίσης: FBI: Εξελιγμένη ομάδα εκμεταλλεύεται ένα zero-day σε FatPipe VPNs
Οι κακόβουλοι παράγοντες έχουν καταχραστεί και τις δύο ευπάθειες για να αναπτύξουν ransomware ή να εγκαταστήσουν webshells για μετέπειτα πρόσβαση σε backdoor. Οι επιθέσεις ProxyLogon έγιναν τόσο άσχημες που το FBI αφαίρεσε web shells από παραβιασμένους διακομιστές Microsoft Exchange που εδρεύουν στις ΗΠΑ χωρίς προηγουμένως να ειδοποιήσει τους ιδιοκτήτες των διακομιστών.
Μετά από τόσο καιρό η μη επιδιόρθωση των διακομιστών Exchange, είναι απλώς μια ανοιχτή πρόσκληση προς τους hackers.
