Penyerang Membajak Utas Email Menggunakan Cacat ProxyLogon/ProxyShell

Attackers menggerogoti kerentanan ProxyLogon dan ProxyShell di Microsoft Exchange Server untuk membajak rantai email, dengan memalsukan balasan ke utas email yang sedang berlangsung, kata para peneliti. , atau apakah SquirrelWaffle hanyalah salah satu bagian dari malware di antara beberapa yang kampanyenya menurun.

PenelitiCisco Talos pertama kali mengetahui kampanye malspam SquirrelWaffle yang dimulai pada pertengahan September, ketika mereka melihat dokumen Microsoft Office yang dijebak yang mengirimkan malware Qakbot dan pengujian penetrasi alat Cobalt Strike – dua dari ancaman paling umum yang secara teratur diamati dengan menargetkan organisasi di seluruh dunia. Office mendokumentasikan sistem yang terinfeksi dengan SquirrelWaffle pada tahap awal rantai infeksi. Kampanye

SquirrelWaffle dikenal menggunakan utas email curian untuk meningkatkan kemungkinan korban mengklik tautan berbahaya. Tautan yang dicurangi itu diselipkan ke dalam balasan email, mirip dengan bagaimana malware Emotet yang ganas – biasanya menyebar melalui email atau pesan teks berbahaya – telah diketahui bekerja.

Menyelinap di Bawah Hidung Orang

, Sherif Magdy dan Abdelrhman Sharshar mengatakan bahwa pembajakan balasan email untuk malspam adalah cara yang baik untuk lolos dari kecurigaan spam kedua orang dan untuk menghindari ditandai atau dikarantina oleh gateway email.

“Mengirimkan spam berbahaya menggunakan teknik ini untuk menjangkau semua domain internal pengguna akan mengurangi kemungkinan mendeteksi atau menghentikan serangan, karena email [gateway] tidak akan dapat memfilter atau mengkarantina salah satu email internal ini,” tulis mereka.

Penyerang juga tidak menjatuhkan, atau menggunakan, alat untuk lateral pergerakan setelah mendapatkan akses ke server Exchange yang rentan, kata Trend Micro. Dengan demikian, mereka tidak meninggalkan jejak, karena “tidak ada aktivitas jaringan yang mencurigakan yang akan terdeteksi. Selain itu, tidak ada malware yang dieksekusi di server Exchange yang akan memicu peringatan apa pun sebelum email berbahaya menyebar ke seluruh lingkungan.”

Middle East Campaign

Trend Micro’s Incident Response team telah memutuskan untuk melihat apa yang diyakini peneliti sebagai penyusupan terkait SquirrelWaffle di Timur Tengah , untuk mengetahui apakah serangan tersebut melibatkan kerentanan server Exchange yang terkenal.

Mereka membagikan tangkapan layar, yang ditunjukkan di bawah, yang mewakili balasan email berbahaya yang muncul di semua kotak masuk pengguna dari satu jaringan yang terpengaruh, semua dikirim sebagai balasan yang sah ke utas yang ada, semuanya ditulis dalam bahasa Inggris.

Mereka menemukan bahwa bahasa lain digunakan di berbagai wilayah di luar serangan Timur Tengah yang mereka periksa. Namun, dalam intrusi yang mereka analisis yang berada di luar Timur Tengah, sebagian besar email berbahaya ditulis dalam bahasa Inggris, menurut report.
Spam berbahaya yang diterima oleh target. Sumber: Trend Micro.

“Dengan ini, penyerang akan dapat membajak rantai email yang sah dan mengirim spam berbahaya mereka sebagai balasan ke rantai tersebut,” tulis para peneliti.

Siapa di Balik Ini?

Peneliti Cryptolaemus TheAnalyst tidak setuju dengan Trend Micro tentangnya premis bahwa SquirrelWaffle sebenarnya bertindak sebagai penetes malware untuk Qbot atau malware lainnya. Sebaliknya, TheAnalyst menegaskan pada hari Jumat bahwa aktor ancaman menjatuhkan SquirrelWaffle dan Qbot sebagai muatan terpisah, dan penurunan SquirrelWaffle terbaru yang dikonfirmasi sebenarnya terjadi pada 26 Oktober.
it memudahkan kami yang melacak mereka untuk mengidentifikasi mereka. TTP tempat mereka selalu kembali adalah tautan ke maldocs dalam rantai balasan curian. Mereka diketahui mengirimkan banyak malware seperti #QakBot#Gozi#IcedID#CobaltStrike dan mungkin lainnya. >

— TheAnalyst (@ffforward) 19 November 2021

Sehubungan dengan siapa di balik aktivitas tersebut, TheAnalyst mengatakan bahwa aktor/aktivitas dilacak sebagai tr01/TR (ID afiliasi QakBot-nya) TA577 oleh Proofpoint dan sebagai ChaserLdr oleh Cryptolaemus dan bahwa aktivitas tersebut kembali ke setidaknya tahun 2020. Para aktor mudah dilacak, kata TheAnalyst, dengan sedikit penyesuaian pada taktik, teknik, dan prosedur (TTPs).

Salah satu TTP yang disukai tr01 adalah menambahkan tautan ke dokumen jahat yang termasuk dalam rantai balasan curian, TheAnalyst dicatat. Pelaku ancaman diketahui mengirimkan “banyak malware,” kata mereka, seperti QakBot, Gozi, IcedID, Cobalt Strike dan kemungkinan lainnya.

Trik Lampiran Excel ‘Buka Saya’ Lama

Email berbahaya membawa tautan (aayomsolutions[.]co [.]in/etiste/quasnam[]-4966787 dan aparnashealthfoundation[.]aayom.com/quasisuscipit/totamet[-]4966787) yang menjatuhkan file .ZIP yang berisi lembar Microsoft Excel berbahaya yang mengunduh dan menjalankan DLL berbahaya yang terkait dengan trojan.

Qbot banking Yang sangat penting, kata Trend Micro, adalah bahwa nama akun asli dari domain korban digunakan sebagai pengirim dan penerima, “yang meningkatkan kemungkinan penerima akan mengklik tautan dan membuka spreadsheet Microsoft Excel yang berbahaya,” menurut report.

Seperti yang ditunjukkan di bawah, lampiran Excel melakukan apa yang dilakukan dokumen Excel berbahaya: Ini meminta target untuk memilih “Aktifkan Konten” untuk melihat file yang dilindungi.
Dokumen Microsoft Excel berbahaya. Sumber: Trend Micro.

Trend Micro menawarkan bagan di bawah ini, yang menunjukkan rantai infeksi file Excel.
Excel rantai infeksi file. Sumber: Trend Micro.

The Exchange Tell-Tales

Para peneliti percaya bahwa para pelaku melakukannya dengan menargetkan pengguna yang mengandalkan server Microsoft Exchange yang belum ditambal untuk kerentanan ProxyLogon dan ProxyShell yang terkenal dan sering dipisahkan.

Trend Mikro menemukan bukti dalam log IIS dari tiga server Exchange yang disusupi, masing-masing disusupi dalam intrusi terpisah, semuanya telah dieksploitasi melalui kerentanan CVE-2021-26855, CVE-2021-34473 dan CVE-2021-34523 – CVE yang sama digunakan dalam ProxyLogon (CVE-2021-26855) dan ProxyShell (CVE-2021-34473 dan CVE-2021-34523) intrusi, menurut Trend Micro.

Log IIS juga menunjukkan bahwa aktor ancaman menggunakan exploit yang tersedia untuk umum dalam serangannya. “Eksploitasi ini memberi aktor ancaman kemampuan untuk mendapatkan SID dan email pengguna,” para peneliti menjelaskan. “Mereka bahkan dapat mencari dan mengunduh email target.”

Para peneliti membagikan bukti dari log IIS, yang direplikasi di bawah, yang menggambarkan kode eksploitasi.
Mengeksploitasi CVE-2021-26855, seperti yang ditunjukkan oleh log IIS. Sumber: Trend Micro.

Microsoft memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan Mei. Mereka yang telah menerapkan pembaruan Mei atau Juli dilindungi dari semua ini. Microsoft telah menegaskan kembali bahwa mereka yang telah menerapkan tambalan ProxyLogon yang dirilis pada bulan Maret tidak terlindungi dari kerentanan ProxyShell dan harus menginstal pembaruan keamanan yang lebih baru. email berbahaya, yang “menyoroti bagaimana pengguna [memainkan] bagian penting dalam keberhasilan atau kegagalan serangan,” Trend Micro mengamati. Kampanye ini “harus membuat pengguna waspada terhadap berbagai taktik yang digunakan untuk menutupi email dan file berbahaya,” tulis para peneliti.

Dengan kata lain, hanya karena email berasal dari kontak tepercaya, tidak ada jaminan bahwa lampiran atau tautan apa pun yang ada di dalamnya dapat dipercaya, kata mereka.

Tentu saja, patching adalah cara nomor satu untuk tetap aman, tetapi Trend Micro memberikan tips tambahan ini jika itu tidak memungkinkan:

    Aktifkan modul patching virtual di semua server Exchange untuk memberikan perlindungan tingkat kritis untuk server yang belum ditambal kerentanan ini.

    Gunakan solusi endpoint detection and response (EDR) di server penting, karena memberikan visibilitas ke internal mesin dan mendeteksi perilaku mencurigakan yang berjalan di server.

    Gunakan desain perlindungan endpoint untuk server.

    Terapkan teknologi sandbox pada email, jaringan, dan web untuk mendeteksi URL dan sampel serupa.

Ada lautan data tidak terstruktur di internet yang berkaitan dengan ancaman keamanan terbaru S. DAFTAR HARI INI untuk mempelajari konsep kunci pemrosesan bahasa alami (NLP) dan cara menggunakannya untuk menavigasi lautan data dan menambahkan konteks ke ancaman keamanan siber (tanpa menjadi ahli!). Balai Kota Threatpost interaktif LANGSUNG ini, disponsori oleh Rapid 7, akan menampilkan peneliti keamanan Erick Galinkin dari Rapid7 dan Izzy Lazerson dari IntSights (perusahaan Rapid7), ditambah jurnalis Threatpost dan pembawa acara webinar, Becky Bracken.
Tulis komentar
Bagikan artikel ini:

  • Kerentananliu
      iKeamanan Web
  • Wagiman Wiryosukiro

    Petani Sistem Informasi, tukang las plugin & themes Wordpress. Co-Founder SistemInformasi.biz. Saat ini aktif sebagai Developer & kontributor di OpenMandriva Linux.

    You may also like...

    %d bloggers like this: