Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Хакеры используют ProxyShell и ProxyLogon в хитроумных манипуляциях с электронной почтой

22/11/21

Micro Exchange-2Киберпреступники взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon для распространения вредоносного ПО и обхода обнаружения с помощью поддельных ответов на внутренние электронные письма.

В связанных с электронной почтой вредоносных кампаниях самое сложное - заставить получателя письма доверять отправителю настолько, чтобы открыть вредоносное вложение.

Специалисты ИБ-компании Trend Micro обнаружили интересную тактику отправки вредоносных электронных писем сотрудникам атакуемой организации со скомпрометированных серверов Microsoft Exchange. Ею пользуется известная хакерская группировка, распространяющая вредоносные электронные письма с вложениями, заражающими компьютеры вредоносным ПО Qbot, IcedID, Cobalt Strike и SquirrelWaffle.

Для того чтобы заставить сотрудников открыть вредоносное вложение, сначала хакеры взламывают серверы Microsoft Exchange через уязвимости ProxyShell и ProxyLogon, а затем отправляют с них ответы на внутренние корпоративные электронные письма. В этих ответных письмах и содержится вредоносное вложение.

Поскольку письма отправляются из той же внутренней сети и представляют собой продолжение уже ведущейся переписки между двумя сотрудниками, они не вызывают у получателей никаких подозрений. Более того, эти письма не вызывают никаких подозрений и у автоматических систем защиты электронной почты.

Вредоносные вложения представляют собой документ Microsoft Excel, для просмотра которого получатель должен "активировать контент". Однако после активации контента выполняются вредоносные макросы, загружающие и устанавливающие на систему вредоносное ПО (Qbot, Cobalt Strike, SquirrelWaffle и пр.).

Согласно отчету Trend Micro, в ходе данной вредоносной кампании распространяется загрузчик SquirrelWaffle, устанавливающий на систему вредоносное ПО Qbot. Однако исследователь из Cryptolaemus под псевдонимом TheAnalyst утверждает , что не SquirrelWaffle загружает Qbot, а вредоносный документ загружает обе программы по отдельности.

Microsoft исправила уязвимости ProxyLogon в марте 2021 года, а ProxyShell - в апреле и мае. Киберпреступники эксплуатировали их для развертывания вымогательского ПО или установки web-оболочек для последующего доступа к серверам. В случае с ProxyLogon дела обстояли так плохо, что ФБР даже пришлось удалить web-оболочки со скомпрометированных серверов Microsoft Exchange на территории США без предварительного уведомления пользователей.

Темы:УгрозыTrend Microэлектронная почтаMicrosoft Exchange
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...