Los atacantes secuestran hilos de correo electrónico utilizando fallas de inicio de sesión de proxy / proxyshell - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los atacantes secuestran hilos de correo electrónico utilizando fallas de inicio de sesión de proxy / proxyshell

Hola otra vez. Te escribe Eduardo Arroyo y en el día de hoy vamos a hablar sobre Los atacantes secuestran hilos de correo electrónico utilizando fallas de inicio de sesión de proxy / proxyshell

Los atacantes secuestran hilos de correo electrónico usando fallas de ProxyLogon / ProxyShell

Al explotar las vulnerabilidades de Microsoft Exchange ProxyLogon y ProxyShell, los atacantes envían spam a las respuestas en los hilos existentes y pasan por alto los filtros de correo maliciosos.

Los atacantes están mordiendo las vulnerabilidades de ProxyLogon y ProxyShell en Microsoft Exchange Server para secuestrar cadenas de correo electrónico, enviando incorrectamente respuestas a hilos de correo electrónico en curso, dicen los investigadores.

Lo que todavía está en debate: si la ofensiva está entregando SquirrelWaffle, el nuevo cargador de correo electrónico que apareció en septiembre, o si SquirrelWaffle es solo una pieza de malware entre muchos que las campañas están abandonando.

Investigadores de Cisco Talos primero Tengo viento de las campañas de malspam de SquirrelWaffle que comenzaron a mediados de septiembre, cuando vieron documentos explosivos de Microsoft Office que entregaban malware Qakbot y la herramienta de prueba de penetración Cobalt Strike, dos de las amenazas más comunes que se observan regularmente contra organizaciones de todo el mundo. Los sistemas de documentos de Office infectados con SquirrelWaffle al principio de la cadena de infección.

Las campañas de SquirrelWaffle son conocidas por utilizar hilos de correo electrónico robados para aumentar las posibilidades de que una víctima haga clic en enlaces maliciosos. Estos enlaces manipulados están ocultos en una respuesta de correo electrónico, similar a cómo funciona el virulento malware Emotet, que generalmente se propaga a través de correos electrónicos o mensajes de texto maliciosos.

Resbalar bajo las narices de la gente

en un relación Publicado el viernes, los investigadores de Trend Micro Mohamed Fahmy, Sherif Magdy y Abdelrhman Sharshar dijeron que el secuestro de respuestas de correo electrónico para malspam es una buena manera de escapar de las sospechas de spam de ambas personas y evitar ser marcados o puestos en cuarentena por pasarelas de correo electrónico.

«El envío de spam malicioso mediante esta técnica para llegar a todos los usuarios del dominio interno reducirá la posibilidad de detectar o detener el ataque, ya que el correo [gateways] no podrá filtrar ni poner en cuarentena ninguno de estos correos electrónicos internos «, escribieron.

El atacante tampoco abandonó ni usó herramientas de movimiento lateral después de obtener acceso a servidores Exchange vulnerables, dijo Trend Micro. Por lo tanto, no dejaron rastros, ya que «No se detectará ninguna actividad de red sospechosa. Además, no se ha ejecutado ningún malware en los servidores de Exchange que active alertas antes de que el correo electrónico malicioso se propague al entorno».

Campaña de Oriente Medio

El equipo de respuesta a incidentes de Trend Micro se propuso examinar lo que los investigadores creen que son intrusiones relacionadas con SquirrelWaffle en el Medio Oriente para ver si los ataques involucraban las notorias vulnerabilidades del servidor Exchange.

Compartieron una captura de pantalla, que se muestra a continuación, que representa las respuestas de correo electrónico malicioso que aparecieron en todas las bandejas de entrada de los usuarios de una red afectada, todas enviadas como respuestas legítimas a los hilos existentes, todas escritas en inglés.

Descubrieron que se utilizaron otros idiomas en diferentes regiones fuera del ataque de Oriente Medio que analizaron. Sin embargo, en las intrusiones que analizaron fuera de Oriente Medio, la mayoría de los correos electrónicos maliciosos estaban escritos en inglés, según el informe.

Spam malicioso recibido por los objetivos. Fuente: Trend Micro.

«Con esto, los atacantes podrían secuestrar cadenas de correo electrónico legítimas y enviar su spam malicioso como respuesta a las cadenas mencionadas», escribieron los investigadores.

¿Quién está detrás de esto?

Cryptolemus investigador El analista no estuvo de acuerdo con Trend Micro en su premisa de que SquirrelWaffle en realidad actuaba como un lanzador de malware para Qbot u otro malware. Más bien, TheAnalyst afirmó el viernes que el actor de amenazas está abandonando tanto a SquirrelWaffle como a Qbot como cargas útiles discretas, y el más reciente SquirrelWaffle confirmado que vio fue en realidad el 26 de octubre.

hace que sea fácil para nosotros, que los rastreamos, identificarlos. Un TTP al que siempre regresan son los enlaces a maldoc en cadenas de respuesta robadas. Se sabe que entregan una multitud de malware, como #QakBot #Gozi #IcedID #CobaltStrike y quizás otros. >

– El analista (@ffforward) 19 de noviembre de 2021

En cuanto a quién está detrás del negocio, TheAnalyst dijo que el actor / negocio se rastrea como tr01 / TR (su ID de afiliado de QakBot) TA577 de Proofpoint y como ChaserLdr de Cryptolemus y esa actividad se remonta al menos a 2020. Los actores son fáciles de localizar, dijo TheAnalyst, haciendo cambios menores en sus tácticas, técnicas y procedimientos (TTP).

Uno de esos TTP favorecidos por tr01 es agregar enlaces a documentos maliciosos incluidos en cadenas de respuesta robadas, señaló TheAnalyst. El actor de amenazas es conocido por entregar «una multitud de malware», dijeron, como QakBot, Gozi, IcedID, Cobalt Strike y potencialmente más.

El viejo truco de archivos adjuntos de Excel «ábreme»

Los correos electrónicos maliciosos contenían enlaces (aayomsolutions[.]co[.]en / etiste / quasnam[]-4966787 y aparnashealthfoundation[.]aayom.com/quasisuscipit/totamet[-]4966787) que publicó un archivo .ZIP que contiene una hoja maliciosa de Microsoft Excel que descarga y ejecuta una DLL maliciosa relacionada con el troyano bancario Qbot.

Lo que es particularmente digno de mención, dijo Trend Micro, es que los nombres de cuenta de dominio reales de la víctima se usaron como remitente y destinatario, «lo que aumenta la posibilidad de que un destinatario haga clic en el enlace y abra las hojas de cálculo. Cálculo malicioso de Microsoft Excel», según el reporte.

Como se muestra a continuación, el archivo adjunto de Excel hace lo que hacen los documentos de Excel maliciosos: requiere que los objetivos elijan «Habilitar contenido» para ver un archivo protegido.

Documento malicioso de Microsoft Excel. Fuente: Trend Micro.

Trend Micro ha ofrecido el siguiente cuadro, que muestra la cadena de infección del archivo de Excel.

Cadena de infección de archivos de Excel. Fuente: Trend Micro.

Las revelaciones del intercambio

Los investigadores creen que los actores están logrando que esto suceda al dirigirse a los usuarios que dependen de los servidores de Microsoft Exchange que aún no han sido parcheados para las notorias vulnerabilidades de ProxyLogon y ProxyShell.

Trend Micro encontró evidencia en los registros de IIS de tres servidores Exchange comprometidos, cada uno comprometido en una intrusión separada, todos explotados a través de las vulnerabilidades. CVE-2021-26855, CVE-2021-34473 Y CVE-2021-34523 – los mismos CVE utilizados en las intrusiones de ProxyLogon (CVE-2021-26855) y ProxyShell (CVE-2021-34473 y CVE-2021-34523), según Trend Micro.

El registro de IIS también mostró que el autor de la amenaza está utilizando un disponible públicamente explotar en su ataque. «Este exploit le da a un actor de amenazas la capacidad de obtener SID y correos electrónicos de los usuarios», explicaron los investigadores. «Incluso pueden buscar y descargar los correos electrónicos de un objetivo».

Los investigadores compartieron evidencia de los registros de IIS, replicados a continuación, que describen el código de explotación.

Aprovechamiento de CVE-2021-26855, como lo demuestran los registros de IIS. Fuente: Trend Micro.

Microsoft solucionó las vulnerabilidades de ProxyLogon en marzo y las vulnerabilidades de ProxyShell en mayo. Aquellos que han aplicado el Mayo o julio las actualizaciones están protegidas de todos estos. Microsoft tiene repetido que aquellos que aplicaron el parche ProxyLogon lanzaron en marcha no están protegidos de las vulnerabilidades de ProxyShell y deben instalar las últimas actualizaciones de seguridad.

Cómo repeler los ataques ProxyLogon / ProxyShell

La explotación de ProxyLogon y ProxyShell permitió a los atacantes eludir las comprobaciones de correo electrónico malicioso, lo que «destaca cómo los usuarios [play] una parte importante en el éxito o el fracaso de un ataque ”, señaló Trend Micro. Estas campañas «deberían hacer que los usuarios desconfíen de las diferentes tácticas utilizadas para enmascarar correos electrónicos y archivos maliciosos», escribieron los investigadores.

En otras palabras, solo porque el correo electrónico es de un contacto de confianza, no hay garantía de que se pueda confiar en ningún archivo adjunto o enlace que contenga, afirmaron.

Obviamente, aplicar parches es la forma número uno de mantenerse a salvo, pero Trend Micro ha proporcionado estos consejos adicionales si eso no es posible:

  • Habilite los módulos de parcheo virtual en todos los servidores de Exchange para brindar protección de nivel crítico para los servidores que aún no han sido parcheados para estas vulnerabilidades.
  • Utilice soluciones de detección y respuesta de puntos finales (EDR) en servidores críticos, ya que brindan visibilidad de la máquina y detectan cualquier comportamiento sospechoso que se ejecute en los servidores.
  • Utilice el diseño de seguridad de punto final para servidores.
  • Aplique la tecnología de espacio aislado en el correo electrónico, la red y la web para detectar URL y ejemplos similares.

.

Puedes compartir en una historia de tu Instagram para que tus amigos lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *