SophosLabs は、Squirrelwaffle マルウェア「ディストリビューション ステーション」をソーシャル エンジニアリングと組み合わせて使用することを調査しています。 二重の攻撃がありました。マルウェア ドロッパーと金融詐欺が、同じ脆弱な Exchange Server を通過しました。 Squirrelwaffle の影響を受けた組織のセキュリティ チーム向けのインシデント ガイド。
アイネムで Sophos Rapid Response Team は最近の記事で、Squirrelwaffle マルウェアが脆弱な Exchange サーバーを悪用し、ハイジャックされたメール スレッドを介して悪意のあるスパムを配信した事例について説明しています。. 同時に、疑いを持たないユーザーをだまして送金させるために、攻撃者によって電子メール スレッドが盗まれました。
Squirrelwaffle、ProxyLogon、ProxyShell の組み合わせ
ここで使用されている Squirrelwaffle、ProxyLogon、および ProxyShell の組み合わせは、ここ数か月で Sophos Rapid Response Team によって数回確認されています。 ただし、このケースは、攻撃者がタイポスクワッティングを使用して、Exchange サーバーにパッチが適用されている場合でもスパムを送信する能力を維持していることを示した最初のケースです。 そうすることで、サイバー犯罪者は、Web サイト名を入力するときにタイプミスをしたユーザーを、彼らが制御する悪意のあるサイトに誘導します。
Squirrelwaffle マルウェアとソーシャル エンジニアリングの二重攻撃
現在の攻撃は、会社の従業員の既存の電子メール スレッドに操作された返信を挿入することにより、社内外の受信者に Squirrelwaffle を大量に配布するために使用される可能性があります。 ソフォスの研究者は、悪意のあるスパム キャンペーンが実行されている間、同じ脆弱なサーバーが金融詐欺にも使用されていることを発見しました。 犯罪者は、盗んだ電子メール スレッドから得た知識を利用して、タイポスクワッティングを使用して、影響を受けた企業の従業員を説得し、顧客向けの金銭取引を攻撃者にリダイレクトさせようとしました。 サイバー犯罪者への送金はすでに承認されていましたが、幸運にも銀行が疑わしくなり、最後の瞬間に取引を停止しました。
パッチ適用だけでは不十分
Sophos Rapid Response のアナリストであり、調査の著者の XNUMX 人である Matthew Everts のコメントは次のとおりです。
「脆弱な Exchange サーバーを介した典型的な Squirrelwaffle 攻撃では、防御側が脆弱性を発見し、脆弱性にパッチを適用し、サーバーを介して電子メールを送信する攻撃者の機能を削除することで修正すると、攻撃は終了します。 しかし、私たちが調査したインシデントでは、攻撃者が被害者の Exchange サーバーから顧客の支払いに関する電子メール スレッドをエクスポートしていたため、そのような手段では金融詐欺を防ぐことはできませんでした。 これは、パッチだけでは必ずしも保護を提供できるとは限らないことを思い出させてくれます。 たとえば、脆弱な Exchange サーバーは、攻撃者がアクセスを維持するために Web シェルを置き忘れていないことを確認する必要もあります。 また、電子メール スレッドのハイジャックで使用されるような高度なソーシャル エンジニアリング攻撃に関しては、何を調べ、どのように報告するかについて従業員を教育することが検出に不可欠です。」
影響を受ける企業へのヘルプ: Squirrelwaffle インシデント ガイド
現在の記事に付随して、ソフォスは Squirrelwaffle インシデント ガイドも公開しています。このガイドでは、ますます人気が高まっているこのマルウェア ローダーが関与するインシデントを調査、分析、および対応する方法について、順を追って説明しています。 これは、スパム キャンペーンで悪意のある Office ドキュメントとして配布され、サイバー犯罪者が被害者の環境に最初の足場を築き、システムを増殖させて他のマルウェアに感染させるチャネルを作成することを可能にします。
このガイドは、Sophos Rapid Response Team が作成している一連のインシデント ガイドの一部であり、インシデント レスポンダーとセキュリティ オペレーション チームが一般的な脅威ツール、手法、および動作を特定して修復するのに役立ちます。 無料でダウンロードできます。
詳細は Sophos.com をご覧ください
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。