22/11/21
Киберпреступники взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма.
В связанных с электронной почтой вредоносных кампаниях самое сложное - заставить получателя письма доверять отправителю настолько, чтобы открыть вредоносное вложение.
Специалисты ИБ-компании Trend Micro обнаружили интересную тактику отправки вредоносных электронных писем сотрудникам атакуемой организации со скомпрометированных серверов Microsoft Exchange. Ею пользуется известная хакерская группировка, распространяющая вредоносные электронные письма с вложениями, заражающими компьютеры вредоносным ПО Qbot, IcedID, Cobalt Strike и SquirrelWaffle.
Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.
Поскольку письма отправляются из той же внутренней сети и представляют собой продолжение уже ведущейся переписки между двумя сотрудниками, они не вызывают у получателей никаких подозрений. Более того, эти письма не вызывают никаких подозрений и у автоматических систем защиты электронной почты.
Вредоносные вложения представляют собой документ Microsoft Excel, для просмотра которого получатель должен "активировать контент". Однако после активации контента выполняются вредоносные макросы, загружающие и устанавливающие на систему вредоносное ПО (Qbot, Cobalt Strike, SquirrelWaffle и пр.).
Согласно отчету Trend Micro, в ходе данной вредоносной кампании распространяется загрузчик SquirrelWaffle, устанавливающий на систему вредоносное ПО Qbot. Однако исследователь из Cryptolaemus под псевдонимом TheAnalyst утверждает , что не SquirrelWaffle загружает Qbot, а вредоносный документ загружает обе программы по отдельности.
Microsoft исправила уязвимости ProxyLogon в марте 2021 года, а ProxyShell - в апреле и мае. Киберпреступники эксплуатировали их для развертывания вымогательского ПО или установки web-оболочек для последующего доступа к серверам. В случае с ProxyLogon дела обстояли так плохо, что ФБР даже пришлось удалить web-оболочки со скомпрометированных серверов Microsoft Exchange на территории США без предварительного уведомления пользователей.
