思科旗下的安全团队Talos在今年10月披露了一个新的恶意程序家族Squirrelwaffle,Squirrelwaffle主要通过垃圾邮件传播,而趋势科技则在上周指出,他们分析了几个发生在中东的Squirrelwaffle感染案例,相信黑客同时使用了ProxyLogon与ProxyShell攻击程序,渗透企业的Exchange Server,再滥用其回复邮件的功能让受害者上钩。
ProxyLogon是由4个Exchange Server上的漏洞组成,包括CVE-2021-26855、CVE-2021-26857、CVE-2021-26858与CVE-2021-27065,这4个漏洞皆属于内部部署的Exchange Server漏洞,由于已发生攻击事件,使得微软于今年3月初展开紧急修补。至于ProxyShell则是由CVE-2021-34473、CVE-2021-34523以及CVE-2021-31207等3个漏洞所构成,也是在今年4月便修补。
至于趋势科技则在最近的Squirrelwaffle攻击事件中,观察到黑客是通过其中的预先认证代理人漏洞CVE-2021-26855、预先认证路径混淆漏洞CVE-2021-34473,以及Exchange PowerShell后端权限扩张漏洞CVE-2021-34523渗透了企业的Exchange Server,而且相关的攻击程序都已可公开取得。
值得注意的是,在黑客渗透到企业的邮件服务器之后,受害者所收到的恶意信件并不是一个新的邮件,而是同事之间的邮件往来或回复,且不管是寄件者或是收件人的账号名称都是真正存在于该域名的,而更能取得受害者的信赖,进而点击邮件中的连接,并打开恶意的Excel文件。
图片来源_趋势科技
图片来源_趋势科技
再仔细分析邮件的路径,发现其原始邮件也是来自内部的发送者,因而降低了被侦测到的机会。
借由垃圾邮件传播的Squirrelwaffle通常是先找到于受害系统的立足点,再根据目的以传送其它的恶意程序,诸如Qakbot或Cobalt Strike等。
趋势科技警告,这意味着来自可靠对象发送的电子邮件,已经不足以作为全然信赖的指标,因为邮件中所附带的连接或文件也可能是恶意的,也呼吁企业或组织别忘了修补ProxyLogon与ProxyShell漏洞。