SquirrelWaffle, ProxyLogon ve ProxyShell’in Microsoft Exchange sunucularına karşı bir kombinasyonu, e-postaları ele geçirerek mali dolandırıcılık yapmak için kullanılır.
Salı günü araştırmacılar Sophos tarafından geçen yıl açıklanan bir dizi kritik güvenlik açığına karşı koruma sağlamak için yama uygulanmayan bir Microsoft Exchange sunucusunun, e-posta ileti dizilerini ele geçirmeyi ve kötü amaçlı e-posta spam’i (malspam) iletmeyi hedeflediği yakın tarihli bir olayı ortaya çıkardı.
Microsoft, sunucuları ele geçirmek için kullanılabilir sıfır gün güvenlik açıklarını gidermek için 2 Mart 2021’de acil durum düzeltme ekleri yayınladı. Hafnium grubu o sırada hataları aktif olarak kullanıyordu ve kısa süre sonra diğer Gelişmiş Kalıcı Tehdit (APT) grupları bunu takip etti.
ProxyLogon/ProxyShell güvenlik açıkları artık iyi biliniyorsa, bazı sunucular hala düzeltilmemiştir ve saldırılara açık kalmaktadır.
SincapWaffle müdahalesi
Sophos tarafından belgelenen son vaka, Microsoft Exchange Server kusurlarını SquirrelWaffle ile birleştirdi ve ilk kez belgelendi Geçen yıl kötü niyetli spam kampanyalarında. Yükleyici genellikle kötü amaçlı Microsoft Office belgeleri veya kimlik avı e-postalarına eklenen DocuSign içeriği aracılığıyla dağıtılır.
Hedeflenen kurban, silahlaştırılmış belgelerde makroları etkinleştirirse, SquirrelWaffle genellikle CobaltStrike etiketlerini bir VBS komut dosyası aracılığıyla çıkarmak ve yürütmek için kullanılır.
Sophos, son kampanyada yükleyicinin Microsoft Exchange sunucusunun güvenliği ihlal edildikten sonra konuşlandırıldığını söylüyor. Anonim bir kuruluşa ait olan sunucu, SquirrelWaffle’ı çalışanlar arasında mevcut e-posta ileti dizilerini ele geçirerek dahili ve harici e-posta adreslerine “toplu olarak dağıtmak” için kullanıldı.
E-posta kaçırma birçok şekilde olabilir. İletişim kabloları, sosyal mühendislik ve kimliğe bürünme yoluyla (örneğin, muhasebe departmanlarını hileli bir işlemi onaylamaları için kandırmak için bir yöneticinin kimliğine bürünerek) veya kötü amaçlı yazılım yüklerine yol açan bağlantılar içeren e-postalar göndererek tehlikeye girebilir.
Bu durumda, SquirrelWaffle’ı yaymak için spam kampanyası kullanıldı. Ancak buna ek olarak, saldırganlar bir iş parçacığı çıkardı ve içerdiği iç bilgiyi finansal dolandırıcılık yapmak için kullandı.
Yazım hatası çömelme tekniği
Müşteri verileri alınmış ve mağdur kuruluş seçilmiştir. Saldırganlar, kurbanınkine çok benzer bir ada sahip bir alan adı kaydettirdi – “yazım hatası” olarak bilinen bir teknik – ve ardından sunucu dışındaki e-posta ileti dizisini yanıtlamak için bu etki alanı aracılığıyla e-posta hesapları oluşturdu.
Sophos, “Saldırganlar, konuşmaya daha fazla meşruiyet katmak için ek e-posta adreslerini kopyalayarak dahili bir hizmetten destek talep ediyormuş gibi göründüler” diye açıklıyor. “Aslında, ek adresler de saldırgan tarafından yazım hatası tarafından işgal edilen alan adı altında oluşturuldu. »
Altı gün boyunca saldırganlar, yasal bir finansal işlemi sahip oldukları bir banka hesabına yönlendirmeye çalıştı. Ödeme işleme alınma aşamasındaydı ve yalnızca işleme dahil olan bir banka, transferin büyük olasılıkla hileli olduğunu fark ettiğinden, kurban saldırıya uğramadı.
Sophos araştırmacısı Matthew Everts, “Bu bize yama uygulamasının koruma sağlamak için her zaman yeterli olmadığını hatırlatıyor” dedi. “Örneğin, güvenlik açığı bulunan Exchange sunucuları söz konusu olduğunda, saldırganların erişimi sürdürmek için geride bir web kabuğu bırakmadığını da doğrulamanız gerekir. E-posta ileti dizisini ele geçirmede kullanılanlar gibi karmaşık sosyal mühendislik saldırıları söz konusu olduğunda, çalışanları neyi arayabilecekleri ve nasıl rapor edecekleri konusunda eğitmek, tespit için kritik önem taşır. »
Kaynak: ZDNet.com