Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

Хакеры взламывают серверы через уязвимости ProxyShell и ProxyLogon и отправляют с них ответы на внутренние электронные письма.

image

Киберпреступники взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма.

В связанных с электронной почтой вредоносных кампаниях самое сложное - заставить получателя письма доверять отправителю настолько, чтобы открыть вредоносное вложение.

Специалисты ИБ-компании Trend Micro обнаружили интересную тактику отправки вредоносных электронных писем сотрудникам атакуемой организации со скомпрометированных серверов Microsoft Exchange. Ею пользуется известная хакерская группировка, распространяющая вредоносные электронные письма с вложениями, заражающими компьютеры вредоносным ПО Qbot, IcedID, Cobalt Strike и SquirrelWaffle.

Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.

Поскольку письма отправляются из той же внутренней сети и представляют собой продолжение уже ведущейся переписки между двумя сотрудниками, они не вызывают у получателей никаких подозрений. Более того, эти письма не вызывают никаких подозрений и у автоматических систем защиты электронной почты.

Вредоносные вложения представляют собой документ Microsoft Excel, для просмотра которого получатель должен "активировать контент". Однако после активации контента выполняются вредоносные макросы, загружающие и устанавливающие на систему вредоносное ПО (Qbot, Cobalt Strike, SquirrelWaffle и пр.).

Согласно отчету Trend Micro, в ходе данной вредоносной кампании распространяется загрузчик SquirrelWaffle, устанавливающий на систему вредоносное ПО Qbot. Однако исследователь из Cryptolaemus под псевдонимом TheAnalyst утверждает , что не SquirrelWaffle загружает Qbot, а вредоносный документ загружает обе программы по отдельности.

Microsoft исправила уязвимости ProxyLogon в марте 2021 года, а ProxyShell - в апреле и мае. Киберпреступники эксплуатировали их для развертывания вымогательского ПО или установки web-оболочек для последующего доступа к серверам. В случае с ProxyLogon дела обстояли так плохо, что ФБР даже пришлось удалить web-оболочки со скомпрометированных серверов Microsoft Exchange на территории США без предварительного уведомления пользователей.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!