Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

Хакеры взламывают серверы через уязвимости ProxyShell и ProxyLogon и отправляют с них ответы на внутренние электронные письма.

Киберпреступники взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма.

В связанных с электронной почтой вредоносных кампаниях самое сложное - заставить получателя письма доверять отправителю настолько, чтобы открыть вредоносное вложение.

Специалисты ИБ-компании Trend Micro обнаружили интересную тактику отправки вредоносных электронных писем сотрудникам атакуемой организации со скомпрометированных серверов Microsoft Exchange. Ею пользуется известная хакерская группировка, распространяющая вредоносные электронные письма с вложениями, заражающими компьютеры вредоносным ПО Qbot, IcedID, Cobalt Strike и SquirrelWaffle.

Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.

Поскольку письма отправляются из той же внутренней сети и представляют собой продолжение уже ведущейся переписки между двумя сотрудниками, они не вызывают у получателей никаких подозрений. Более того, эти письма не вызывают никаких подозрений и у автоматических систем защиты электронной почты.

Вредоносные вложения представляют собой документ Microsoft Excel, для просмотра которого получатель должен "активировать контент". Однако после активации контента выполняются вредоносные макросы, загружающие и устанавливающие на систему вредоносное ПО (Qbot, Cobalt Strike, SquirrelWaffle и пр.).

Согласно отчету Trend Micro, в ходе данной вредоносной кампании распространяется загрузчик SquirrelWaffle, устанавливающий на систему вредоносное ПО Qbot. Однако исследователь из Cryptolaemus под псевдонимом TheAnalyst утверждает , что не SquirrelWaffle загружает Qbot, а вредоносный документ загружает обе программы по отдельности.

Microsoft исправила уязвимости ProxyLogon в марте 2021 года, а ProxyShell - в апреле и мае. Киберпреступники эксплуатировали их для развертывания вымогательского ПО или установки web-оболочек для последующего доступа к серверам. В случае с ProxyLogon дела обстояли так плохо, что ФБР даже пришлось удалить web-оболочки со скомпрометированных серверов Microsoft Exchange на территории США без предварительного уведомления пользователей.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!