30/11/21
Мировой мебельный гигант IKEA инициировал расследование текущей вредоносной кампании, направленной на его компьютерные системы. По словам представителей компании, были обнаружены свидетельства, указывающие на компрометацию серверов Microsoft Exchange.
Как сообщило издание Bleeping Computer, в распоряжении которого оказалось письмо сотрудникам IKEA, «полномасштабное расследование» инцидента продолжается и в настоящее время нет никаких признаков компрометации данных клиентов. Атака затронула другие организации, поставщиков и деловых партнеров IKEA.
В ходе вредоносной кампании преступники распространяли электронные письма, замаскированные под настоящий ответ на существующую цепочку писем. Перехват цепочки сообщений электронной почты является одним из уникальных идентификаторов текущей кампании по распространению вредоносного спама SquirrelWaffle. Киберпреступники используют уязвимости ProxyShell и ProxyLogin в серверах Microsoft Exchange для распространения вредоносного ПО Qakbot.
Электронные письма могут поступать якобы от доверенных коллег или сторонних компаний, с которыми ранее общался сотрудник, тем самым увеличивая вероятность успеха кибератаки с применением социальной инженерии.
«Наши фильтры электронной почты могут идентифицировать некоторые из вредоносных писем и помещать их в карантин. Из-за того, что электронное письмо может быть ответом на продолжающийся разговор, легко подумать, что фильтр электронной почты допустил ошибку, и вывести письмо из карантина. Поэтому мы до дальнейшего уведомления отключили у всех сотрудников возможность перемещать электронные письма из карантина», — сообщила IKEA своим сотрудникам.
IKEA рекомендует сотрудникам проявлять особую бдительность при просмотре своих почтовых ящиков на предмет фишинговых писем, особенно если они содержат ссылки с семью цифрами в конце.
При посещении URL-адресов во вредоносных письмах пользователь будет перенаправлен на загрузку файла с именем charts.zip, содержащего вредоносный документ Microsoft Excel. Получателям предлагается нажать кнопки «Включить контент» или «Разрешить редактирование» якобы для правильного просмотра. После нажатия этих кнопок будут запущены вредоносные макросы, загружающие файлы besta.ocx, bestb.ocx и bestc.ocx с удаленного сайта и сохраняющие их в папке C:\Datop. Файлы OCX переименовываются в DL-Lбиблиотеки и запускаются с помощью команды regsvr32.exe для установки полезной нагрузки.
