Sophos 发表了一篇最新文章,详细介绍最近发生的一起事件,事件中 Squirrelwaffle 恶意软体载入程式被与 ProxyLogon和 ProxyShell 一起使用,攻击未安装修补程式的 Microsoft Exchange 伺服器并将恶意回覆插入员工现有的电子邮件讨论串,藉此将 Squirrelwaffle 寄送给内部和外部的大量收件者。研究人员发现,在进行恶意垃圾邮件活动的同时,同一台有弱点的伺服器也被用于金融诈骗攻击,透过从被盗电子邮件讨论串中获得的资讯和误植域名手法,说服员工将合法的客户交易转给攻击者。诈骗几乎成功了:转帐到恶意收件者的动作取得了授权,但幸运的是,一家银行起了怀疑并停止该笔交易。
研究作者之一 Sophos Rapid Response 分析师 Matthew Everts 表示:在锁定有弱点的 Exchange 伺服器的典型 Squirrelwaffle 攻击中,当防御人员安装修补程式来侦测和修补入侵行为后,攻击就被挡下来了,因为攻击者将无法透过伺服器发送电子邮件。然而,在 Sophos Rapid Response 调查的事件中,这种补救措施并无法阻止金融诈骗攻击,因为攻击者会从受害者的 Exchange 伺服器汇出有关客户付款的电子邮件讨论串。这是一个很好的警惕,那就是单是安装修补程式不一定就能取得足够的保护。例如,对于有弱点的 Exchange 伺服器,您还需要检查攻击者是否留下 Web Shell 以继续取得访问权限。在面对複杂的社交工程攻击 (例如电子邮件讨论串被绑架) 时,教育员工应该注意什么以及如何回报,对于能否阻挡攻击非常重要。
Squirrelwaffle 事件指南
除了这项新研究之外,Sophos 还发布了一份《Squirrelwaffle 事件指南》,提供逐步指引来调查、分析和应对和该热门恶意软体载入程式有关的这一类事件。这个恶意软体会以垃圾邮件的恶意 Office 文件附件出现,并为攻击者提供进入受害者环境的初始立足点,以及成为其他恶意软体传递和感染系统的管道。
该指南是 Sophos Rapid Response 团队一系列事件指南的一部分,目的是帮助事件回应人员和安全营运团队找出和修复经常可见的威胁工具、技术和行为。
微信扫一扫打赏
支付宝扫一扫打赏
