Doppelte Attacke über anfällige Exchange Server 

Doppelte Attacke über anfällige Exchange Server 

Beitrag teilen

SophosLabs untersucht Einsatz der Malware-„Verteilstation“ Squirrelwaffle in Kombination mit Social Engineering. Dabei gab es doppelte Attacke: Malware Dropper und Finanzbetrug liefen über denselben anfälligen Exchange Server ab. Ein Incident Guide für Security Teams von Unternehmen, die von Squirrelwaffle betroffen sind.

In einem aktuellen Artikel beschreibt das Sophos Rapid Response Team einen Fall, bei dem Squirrelwaffle-Malware einen anfälligen Exchange-Server ausnutzte, um über gekaperte E-Mail-Threads bösartigen Spam zu verbreiten. Gleichzeitig wurde von den Angreifern ein E-Mail-Thread entwendet, um arglose Nutzer zu einer Geldüberweisung zu verleiten.

Kombination aus Squirrelwaffle, ProxyLogon und ProxyShell

Die hierbei verwendete Kombination aus Squirrelwaffle, ProxyLogon und ProxyShell wurde vom Sophos Rapid Response Team in den letzten Monaten mehrfach beobachtet. In diesem Fall zeigt es sich jedoch zum ersten Mal, dass Angreifer Typo-Squatting einsetzen, um die Fähigkeit zum Versenden von Spam aufrechtzuerhalten, auch wenn der Exchange-Server gepatcht wurde. Dabei führen die Cyberkriminellen Nutzer, die beim Eintippen eines Webseitenamens einen Schreibfehler machen, auf eine von ihnen gesteuerte, bösartige Seite.

Squirrelwaffle-Malware und Social Engineering in Zweifach-Angriff

Die aktuelle Attacke konnte dazu genutzt werden, um Squirrelwaffle massenhaft an interne und externe Empfänger zu verteilen, indem manipulierte Antworten in bestehende E-Mail-Threads von Beschäftigten des Unternehmens eingefügt wurden. Die Sophos-Forscher:innen entdeckten, dass während der Durchführung der bösartigen Spam-Kampagne derselbe anfällige Server obendrein für einen Finanzbetrug missbraucht wurde. Mithilfe des Wissens, das die Kriminellen aus einem gestohlenen E-Mail-Thread zogen, versuchten sie per Typo-Squatting Angestellte des betroffenen Unternehmens davon zu überzeugen, eine eigentlich für einen Kunden bestimmte Geldtransaktion an die Angreifer umzuleiten. Und der perfide Betrug wäre beinahe geglückt: Die Überweisung an die Cyberkriminellen wurde bereits genehmigt, aber zum Glück schöpfte eine Bank Verdacht und stoppte die Transaktion im letzten Moment.

Patchen allein reicht nicht

Ein Kommentar von Matthew Everts, Analyst bei Sophos Rapid Response und einer der Autoren der Studie, sagt:

„Bei einem typischen Squirrelwaffle-Angriff über einen anfälligen Exchange-Server endet der Angriff, wenn die Verteidiger die Sicherheitslücke entdecken und beheben, indem sie die Schwachstellen patchen und dem Angreifer die Möglichkeit nehmen, E-Mails über den Server zu versenden. In dem von uns untersuchten Vorfall hätte eine solche Maßnahme den Finanzbetrug jedoch nicht verhindern können, da die Angreifer einen E-Mail-Thread über Kundenzahlungen vom Exchange-Server des Opfers exportiert hatten. Dies ist eine gute Erinnerung daran, dass Patches allein nicht immer ausreichen, um Schutz zu bieten. Bei anfälligen Exchange-Servern muss beispielsweise auch sichergestellt werden, dass die Angreifer keine Web-Shell hinterlassen haben, um den Zugang aufrechtzuerhalten. Und wenn es um ausgeklügelte Social-Engineering-Angriffe geht, wie sie beim Hijacking von E-Mail-Threads eingesetzt werden, ist es für die Erkennung entscheidend, die Mitarbeiter darüber zu informieren, worauf sie achten müssen und wie sie es melden können.“

Hilfe für betroffene Unternehmen: der Squirrelwaffle Incident Guide

Begleitend zum aktuellen Artikel hat Sophos auch einen Squirrelwaffle Incident Guide veröffentlicht, der eine Schritt-für-Schritt-Anleitung zur Untersuchung, Analyse und Reaktion auf Vorfälle mit diesem immer beliebter werdenden Malware-Loader enthält. Er wird als schädliches Office-Dokument in Spam-Kampagnen verbreitet und erlaubt Cyberkriminellen einen ersten Fuß in die Umgebung eines Opfers zu bekommen sowie einen Kanal zur Verbreitung und Infizierung von Systemen mit anderer Malware aufzubauen.

Der Leitfaden ist Teil einer Reihe von Incident Guides, die vom Sophos Rapid Response Team erstellt werden, um Incident Responder und Security Operations Teams dabei zu unterstützen, weit verbreitete Bedrohungs-Tools, -Techniken und -Verhaltensweisen zu identifizieren und zu beseitigen. Er lässt sich kostenlos herunterladen.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Dreifach Strafe: Ransomware-Erpressung, Datenverlust, Strafgebühren

Nachlässige Unternehmen sind schnell dreifach bestraft: erst die Ransomware-Erpressung, dann der Datenverlust und zu guter Letzt die Strafgebühr für einen ➡ Weiterlesen

Finanzbetrug mit Liquidity Mining – Betrugsmasche im Krypto-Hype

Sophos erklärt in seiner Untersuchung wie Liquidity Mining - der neueste Krypto-Währungs-Investitionswahnsinn - von Cyberkriminellen als Plattform genutzt wird. „Die ➡ Weiterlesen

Threat Hunting: Fünf Schritte für die erfolgreiche Jagd

Threat Hunting und ein effektiver Notfallplan erhöhen die Security für Unternehmen und reduziert die Auswirkungen von Cyberattacken maßgeblich. Schließlich haben ➡ Weiterlesen

Sophos-Studienergebnisse zu reaktivierten Emotet Botnets

Sicherheitsforscher in den SophosLabs haben sich intensiv mit den aktuellen Aktivitäten des reaktivierten Emotet Botnets befasst. Sie beschreiben, wie Emotet aktuell ➡ Weiterlesen

Sophos Firewall mit noch mehr Netzwerkleistung und -flexibilität

Sophos hat heute eine neue Version der Sophos Firewall mit Xstream Software-Defined Wide Area Network (SD-WAN)-Funktionen und Virtual Private Network ➡ Weiterlesen

Studie: Zwei von drei Unternehmen waren bereits Ransomware-Opfer

Die neue Sophos-Studie „State of Ransomware 2022" belegt: 67 Prozent der deutschen Unternehmen waren bereits von Erpressermalware betroffen. 2020 waren ➡ Weiterlesen

Cybercrime-Trainees bereiten Attacke vor?

Effektive Arbeitsteilung oder Anzucht von Cybercrime-Trainees? Nach einer eher stümperhafter Netzwerkinfiltration übernehmen abschließend die Profis mit Lockbit Ransomware. Den Sophos Forscher ist ➡ Weiterlesen

Log4j-Log4Shell: Angreifer nutzen Schwachstelle für dauerhaften Server-Zugang

Forscher der SophosLabs entdeckten drei Hintertüren und vier Cryptominer, die auf ungepatchte VMware Horizon Server zielen, um dauerhaft Zugang zu ➡ Weiterlesen